EP1308909B1 - Procédé de génération de données pseudo-aléatoires dans une carte à puce, et procédé d'authentification et son système - Google Patents

Procédé de génération de données pseudo-aléatoires dans une carte à puce, et procédé d'authentification et son système Download PDF

Info

Publication number
EP1308909B1
EP1308909B1 EP02292756A EP02292756A EP1308909B1 EP 1308909 B1 EP1308909 B1 EP 1308909B1 EP 02292756 A EP02292756 A EP 02292756A EP 02292756 A EP02292756 A EP 02292756A EP 1308909 B1 EP1308909 B1 EP 1308909B1
Authority
EP
European Patent Office
Prior art keywords
computer
based object
data item
signature
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
EP02292756A
Other languages
German (de)
English (en)
Other versions
EP1308909A1 (fr
Inventor
Luc Deborgies
Bruno Choiset
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Worldline MS France
Original Assignee
Compagnie Industrielle et Financiere dIngenierie Ingenico SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Compagnie Industrielle et Financiere dIngenierie Ingenico SA filed Critical Compagnie Industrielle et Financiere dIngenierie Ingenico SA
Publication of EP1308909A1 publication Critical patent/EP1308909A1/fr
Application granted granted Critical
Publication of EP1308909B1 publication Critical patent/EP1308909B1/fr
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • G06Q20/065Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
    • G06Q20/0652Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash e-cash with decreasing value according to a parameter, e.g. time
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/12Payment architectures specially adapted for electronic shopping systems
    • G06Q20/127Shopping or accessing services according to a time-limitation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/215Individual registration on entry or exit involving the use of a pass the system having a variable access-code, e.g. varied as a function of time
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F17/00Coin-freed apparatus for hiring articles; Coin-freed facilities or services
    • G07F17/0014Coin-freed apparatus for hiring articles; Coin-freed facilities or services for vending, access and use of specific services not covered anywhere else in G07F17/00
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system

Definitions

  • the present invention relates to a method of generating unpredictable data by an object having data processing capabilities.
  • the invention relates in particular to such a method allowing an object having such capabilities, for example comprising a smart card or an identity module, to have unpredictable data for its user, which data can be identical for several computerized objects. Similar.
  • the invention also relates to a method and a system for controlling a park of such objects, these objects being able to be used to authenticate persons or to carry out a credit or time credit or other credit, or to implement multiplayer games having a random share common to the participants, or a control of use of another device or system.
  • Such unpredictable or pseudo-random data can be used to simulate a random draw, for example to program games using a part of chance in a computer. This may be the case for video or computer games to replace a roll of dice. This can make it possible to perform a lottery-type game involving several users of the same computer, or computer users connected to each other.
  • pseudo-random data can be used to provide in any programs events without apparent correlation with events within the program or actions of the user. It can be to generate random events in a simulation program, for example to generate weather conditions or incidents to manage.
  • signature a pseudo-random data
  • Such an algorithm may in particular comprise the use of a determined key.
  • the patent US 5361062 teaches for example a portable device for identifying a person. This device generates a pseudo-random code from an individual code identifying this person, by combining this individual code with a data extracted from a clock embedded in the device.
  • the patent WO 91 06926 also teaches to perform a person identification check, triggering this generation of pseudo-random code by a signal received by the device. This signal is then sent directly by the control station and is a simple trigger signal of the device carried by the person to identify.
  • patent AU 6568686 teaches besides a method for re-synchronizing such a device in use.
  • the present invention therefore aims to overcome the disadvantages of the prior art by providing a method for a plurality of computerized objects with data processing capabilities to generate pseudo-random data that are identical to an object to the other without requiring communication between them.
  • This object is achieved by a method for generating a pseudo-random data item by a computerized object comprising data processing means, storage means, as well as display means or communication means with a processing device. of said terminal data, this terminal allowing the generation of the pseudo-random data from a seed datum, without a different stop, provided by the reception of an external signal, and the calculation by this computerized object of a digital datum pseudo-random, called signature, from this signal, using an algorithm stored in this object, characterized in that this calculation is performed during the reception of the external signal, by at least one computerized object or by at least one terminal, this signal varying over time and being broadcast, regardless of the state of operation of the computerized object, in a given area and which can be received or terpreted identically by other objects or terminals in different locations in that same area.
  • the radio signal represents information having irregular or unpredictable characteristics.
  • the radio signal is received by reading a subcarrier wave, associated with a broadcast of radio waves.
  • the signal comprises transmitting, during a plurality of predetermined periods of time, constant information that can be interpreted in a constant manner within each of these determined periods, this information varying from one of these periods to another in an irregular or unpredictable way.
  • Another aim is to propose a method for authenticating a computerized object equipped with data processing capabilities or checking its validity.
  • the method comprises a comparison step verifying the value of a data item, called validity data, stored in the computerized object, this verification conditioning or modifying the calculation, display or transmission of the signature.
  • the method comprises a step of displaying, on display means of the terminal, the signature received by the terminal from the computerized object.
  • the signature is computed by the computerized object by an algorithm, called a signature algorithm, using at least one piece of data, called a calculation key.
  • the calculation key is calculated from a datum, called base key, stored in the computerized object.
  • several data are stored in the computerized object, the method comprising a data entry step representing, among these multiple basic keys, the data to be used as a basic key.
  • the method comprises a step of personalizing the computerized object by entering at least one piece of data, said individual item, this item being used by the computer object in combination with the base key to calculate a piece of data. , called the daughter key, which will be used as a calculation key.
  • the method comprises a step of entering and storing in the computerized object at least one piece of data, called the additional parameter, the signature algorithm combining this additional parameter with the calculation key and the signal data to calculate Signature.
  • the method comprises a step using an algorithm, called complementary algorithm, carrying out the extraction of the data individual which has been used to generate a signature, said individualized signature, by comparing this individualized signature with a signature, called base signature, which has been generated by combining the same data except said individual data.
  • complementary algorithm carrying out the extraction of the data individual which has been used to generate a signature, said individualized signature, by comparing this individualized signature with a signature, called base signature, which has been generated by combining the same data except said individual data.
  • Another aim is to propose a method for authenticating a computerized object park equipped with data processing capabilities or checking their validity.
  • Another object is to propose a computerized object for implementing one of the methods described above.
  • Another aim is to propose a control method of a computerized time credit counting object park whose authenticity and validity can be easily controlled, for example by optical scanning.
  • the modification of the balance data is also done according to data representing an individual data item, an additional parameter, a choice of basic key, or a combination of these elements.
  • Another object is to propose a system implementing one of the methods described above for controlling a computerized count of time or other type of credit counting objects.
  • Another object of the invention is to propose a method making it possible to control the use of a device, system, or software, by verifying that the user has a specific computerized object that is authentic, valid, activated, or operating according to certain parameters.
  • This object is achieved by a method of controlling the use of a device or a system comprising or using a computer program, said protected application, characterized in that at least part of the protected application is executed in a computerized object implementing a method according to one of the preceding claims, or uses a program executed in the same computerized object, the calculation of the signature or display by the computerized object or its transmission to the terminal only occurs if the protected application is active.
  • Another object is to propose a system implementing the method described above to control the use of a device, system, or software.
  • Another goal is to carry out the control of a park of computerized objects of count of parking value.
  • This purpose is achieved by the use of a method as described above for controlling vehicle parking rights, characterized in that the computerized objects are smart cards, prepaid or on credit, including a given data. balance represents a value of parking time.
  • At least one additional parameter corresponds to a geographical parking area or to a type of pricing or a combination of both.
  • At least one individual datum corresponds to a datum identifying the computerized object or to a datum identifying a vehicle or a user or a user account, or a combination of these elements.
  • a smart card thus comprises at least one processor, storage means, and means of communication with an external device, referred to for example terminal or card reader.
  • Such a smart card lends itself particularly well to a large number of applications because of its cost and small size, among other things because its operation is somehow passive. That is, she only works with the energy of a terminal and when it is connected to it. It is in "suspended" operating state between two connections. This passive aspect and its lack of energy consumption, however, induce a certain number of constraints, which the invention makes it possible to circumvent in a certain number of applications.
  • Computerized objects, portable or not, having certain characteristics or constraints different from the conventional smart card can however advantageously use the present invention, for example for reasons of autonomy, simplicity of implementation, cost of implementation . It may be for example enclosures also incorporating more or less summary display or input means, modules integrating the implementation of the invention among other functions, in various physical and electronic forms.
  • object or objects with data processing capabilities designated as computerized objects in the present description may have very different configurations of the smart card illustrated here, without departing from the spirit of the invention.
  • they may be objects that are physically interdependent with or attached to large or bulky objects or devices.
  • Such objects may, for example, not be portable, but have a significant operating autonomy with respect to the device to which they relate, and perform at its request complete tasks and with resources whose small scale could allow them to be made in a portable form.
  • the computerized objects to which this description applies include low-capacity data processing devices as usually referred to as "embedded computing”, often used to translate the English term. of "embedded computer”, that is “buried computer”, or “embedded”. Such a presentation of the extent of the devices relating to embedded computing can be found for example in the book Embedded Java (Eyrolles - Paris 1999 ).
  • the invention may be used in an embodiment having different distributions of the functions described below, in one or more separate or separable objects.
  • a "passive" computerized object in order to be activated and used, such an object must be connected to a device or terminal having means for interfacing with the user.
  • the computerized object can then communicate only electronically with the outside, with this terminal. This communication is done for example according to a protocol such as the "APDU" format in the case of a smart card meeting the ISO 7816 standard.
  • the separation of tasks between the terminal and the smart card means that the specific functions of a use and the security functions that go with it are stored and processed entirely inside the card, the terminal serving only as an intermediary. Due to the low cost of the card itself, many applications are possible that depend directly on the card, the latter being the secure element and containing the value of use of the application.
  • the terminal is then an interchangeable tool, and the applications can then include large numbers of smart cards at a time secure and low costs, in the same way as for phone cards, various credit cards , or all kinds of loyalty cards or others.
  • said signature algorithm comprising a pseudo-random algorithm
  • said signature algorithm seed data is always different. Indeed, if it is possible to provide a seed data that is the same for several uses, it is then possible to obtain values that are also the same for the pseudorandom data that will result.
  • the invention proposes to use a terminal, here called terminal, which has the ability to receive an external signal, for example a radio-broadcast signal.
  • a radio wave that is to say an electromagnetic wave, for example the signals of radio transmitters, today provides reception solutions that are both economical and space-saving.
  • the invention proposes a method comprising the reception of a radio wave by a terminal connected to a smart card.
  • the terminal comprises radio reception means of a known type, which allow it to receive a radio signal, either in digital form or in an analog form according to the variants of the invention.
  • the received signal is then interpreted through an interpretation module that can include an analog-digital converter.
  • a type of radio signal used may advantageously be received according to the technology for receiving a "sub-carrier" wave, such as that used for the transmission to the FM (Frequency Modulation) receivers of additional information according to the "RDS" standard. for example the name of the radio station picked up or the title of a music broadcast.
  • This subcarrier technology can also be used in Waves or AM (Amplitude Modulation) mode with the advantage of a larger reception range, up to 2000 km for a major public broadcasting transmitter.
  • the radio signal used may, however, be of any class of electromagnetic wave without departing from the spirit of the invention, for example a television signal of terrestrial or satellite origin, or a signal emitted by any satellite such as a GPS positioning satellite.
  • the interpretation module of the terminal extracts one or more digital data which are then transmitted to the card to serve as seed data in a pseudo-random data generation algorithm.
  • such pseudo-random data is used by a program within the card to implement a game of chance, possibly with gains.
  • cards are sold in a manner similar to scratch game ballots, and the random aspect obtained by the provision of external seed data makes it possible to state without deception that all cards have the same real chance of winning.
  • the security of the process against fraud can then be ensured by known means for securing the data contained in a smart card.
  • the validation of a winning card may for example include an authentication of the card by comparing a signature obtained by providing a new seed data to the same card. This signature must then be identical to a control signature obtained from this same seed data, by a control station using an identical algorithm or equivalent.
  • the invention includes broadcasting a number of cards to different players. By using a signal covering a geographical area of a given range, it is then possible for all the cards in this area to generate both random and identical data on each of these cards.
  • An embodiment then includes a lottery using a serial number specific to each card to obtain one or more winning cards by generating one or more numbers at the same time on all active cards at that time.
  • Another embodiment comprises selecting for each card, via the interface means of any terminal, a series of numbers to bet. A random draw can then be made at a given time, which will give winning numbers common to all activated cards. Cards that have memorized bet numbers corresponding to the numbers from the draw can then be recognized as winners and provide a calculation or a validation of the winnings.
  • a virtual reality or simulation program playful or training, determines random operating conditions. These conditions, for example meteorology or combat results, are then impossible to predict or to falsify for the participants in the application.
  • the terminal can have various forms, which do not interfere little or not with the mode of operation and the safety of the process.
  • a terminal can for example be integrated in a portable radiotelephone, in a portable sound record player, in a television set, in an interactive terminal, in a laptop or desktop, or connected to such a device.
  • the invention proposes a method and a system for controlling a fleet of computerized objects, such as cards (1) with chips.
  • smart cards are used to count a time credit. In some variants, this time may correspond to different values, by weighting according to additional parameters that can be modified for each use.
  • these computerized objects include smart cards, for example prepaid or rechargeable, storing a balance representing a value of vehicle parking time.
  • this balance can be paid in various other ways, for example by being charged to a user account for later payment, or billed after consumption or periodically.
  • a number of smart cards are manufactured or customized or set to memorize an application managing the implementation of the method.
  • This application comprises a program, called control program (10), using a signature algorithm (11) capable of performing the calculation of a signature (13) from a data representing a so-called key of calculation and data key seeds that can be received later.
  • This application also includes functionalities for activating a time count, this count causing the variation of a duration or a credit value of time, stored in a given data given (17) balance.
  • the signature algorithm (11) may comprise an algorithm performing, for example, symmetric or secret key coding or encryption, or asymmetric coding or encryption, or public key and private key encryption.
  • one and the same basic key (12) can be memorized in all the cards, or a set of different so-called multiple basic keys allowing a subsequent change of the basic key (12) to be used without updating the cards. already distributed.
  • the one or more basic keys may vary depending on the service provider that issues or distributes these cards. These basic keys may also vary depending on the manufacturer of the card or the personalization provider. These basic keys can of course vary according to the type of service to be counted down, or a category within the same type of service.
  • Information called key code, can be written or legibly coded on the card, identifying the basic key or set of basic keys stored in this card. Such information then allows a control agent to set up a control station (4) by entering this key code.
  • the value of the base key (s) corresponding to this code is already stored in the control station, entering this key code then allows the station to control to use as the calculation key the same basic key as the user's card without neither the user nor the control agent knowing the value of any of these keys.
  • the choice of the base key or base keys to be used may also be defined by a key code contained in the signal data extracted from the signal.
  • prepaid or refillable cards are sold for example to motorists, and contain a balance data representing either a duration or a monetary amount.
  • the invention uses a single basic key as a calculation key for a set of distributed cards.
  • the service user activates his card (1) by inserting it into a terminal (2) comprising communication means (21) with this card, for example by electrical connection or by short radio antenna scope.
  • This terminal also comprises display means (22), for example a liquid crystal screen, power supply means, and radio reception means (23) of a known type. These reception means allow it to receive a radio signal (3), for example by decoding a subcarrier wave emitted by a radio transmitter in amplitude modulation.
  • the terminal also comprises an interpretation module (24) capable of generating digital data called signal data (32) from the signal (3) received by the receiving means (23).
  • the user leaves the card (1) in the terminal (2) all the time he wants to activate the time count, for example in payment of the service, or as a means of controlling a duration maximum use of this service.
  • the terminal receives the radio signal (3) and interprets the signal to extract signal data (32). These signal data are thus generated as long as the terminal is in the area covered by the broadcast of this signal with a sufficient quality so that the digital interpretation of this signal can be done unambiguously.
  • the signal used may, for example, be based on the reception of a signal indicating the universal time, for example that transmitted by the Frankfurt transmitter.
  • the use of an unpredictable signal further reduces the risk of fraud. Indeed, it is more difficult for a fraudster to predict the signatures to be generated at a future time if it does not have the nature of the signal that will be broadcast at the moment in question.
  • the interpretation module (23) extracts the digital data from a subcarrier wave in a known manner, for example according to the RDS technology used to transmit the names of certain radio stations.
  • this signal is interpreted according to a determined sampling period.
  • the signal data (32) is then calculated by averaging certain characteristics of the signal over that sampling period. These characteristics are chosen so that their interpretation does not depend on the power of the signal reception, so that the extracted signal data are independent of the location of the terminal (2).
  • a program (16) said protected program, stored in this card makes the count of the time that elapses, and modifies the balance data (17) according to this count.
  • the program (16) modifies the state of a given data datum (18) validity, or possibly interrupts its own operation.
  • the program may provide other cases where the validity data is changed, for example in case of error or attempted fraud.
  • the validity data may also include information relating to the amount or amount of time remaining credit, or to the reasons why the operation is no longer valid. This validity data can also memorize the elapsed time since the operation is no longer valid. In case of invalidity, this invalid information can be transmitted to the terminal (2) for display or transmission to another device.
  • the card (1) receives new signal data (32).
  • a calculation key for example the basic key (12)
  • the signature algorithm (11) of the control program (10) calculates the signature (13).
  • This signature is transmitted to the terminal (2), which displays it on its display means (22).
  • This calculation of the signature, or its transmission to the terminal is done only as long as the protected program (16) is active, or the validity data item (18) indicates that the operation is authorized, and in particular that the credit time allocated is not exceeded.
  • the signal has a regular characteristic allowing synchronization of the sampling or calculation periods of the signature, it is possible for each card to perform its signature change at the same time. If a complete period is needed to calculate the signature, a newly activated map can then display a specific signature, or start signature, pending the next full period. All cards in the zone can then change signatures at the same time.
  • the terminal or the card also receives a second signal indicating the universal time and uses this second signal to synchronize the calculation periods of its signal data or its signature.
  • a human or automatic operator acting on behalf of the service provider can then use a station (4) capable control generating the same signal data (324) as a card (1) receiving the same signal (3).
  • This control station memorizes a program using an algorithm (41) capable of obtaining the same results as that of the cards to be controlled, when it has the same elements.
  • the control station can therefore display a signature (43) control identical to the signature (13) of the cards to control.
  • the control station can memorize the previous signatures and display multiple signatures at the same time, for example all currently valid signatures at a given time.
  • the control agent can then know if this card contains an algorithm (11). ) signature and a valid calculation key and if its operation is correctly activated. It is thus possible for the screening officer to know if the user meets inspection requirements that can be displayed on the spot or otherwise known, and to take action accordingly.
  • the terminal may be specific to each user, to each card, be loaned to the user, or be integrated in a device performing other similar functions or not.
  • vehicle drivers wishing to park can thus use a terminal placed visibly in their vehicle to justify the purchase of a parking card and prove that it is activated for the duration of a parking lot. parking.
  • a control officer can then be a person equipped with a control station that checks with each vehicle that the card is activated and valid, by comparing the signature of the card with the control signature.
  • the calculation of the signature or its transmission takes place only at the request of the control agent, by triggering a command.
  • This triggering can be done for example by pressing a button on the terminal, or by sending a command to the terminal from the control station for example by electrical or radio or magnetic means, by a magnetic transponder or by presenting a metal piece nearby. magnetic sensors connected to the terminal.
  • the signature is communicated or transmitted directly to the control station by known means.
  • the signature is displayed in a form readable automatically by the control station, for example by reading bar codes.
  • the control station then has automated reading means enabling it to automatically read the signature displayed by the terminal, for example in the form of barcodes.
  • automated reading means may also be provided for automatically reading other information written or displayed on the card or on the terminal, such as for example individual data or additional parameters as described below.
  • the invention allows the user of the card (1) to use additional parameters (14) which will condition the operating mode of this card once activated.
  • additional parameters can be entered or modified by the user, for example during each activation. This input or modification can be done for example using the terminal (2) which then comprises input means (25).
  • These additional parameters may affect, for example, the speed of counting the time credit or the value of a unit of time.
  • These additional parameters (14) may also include information identifying the service or service provider for which the card (1) is used, or the area of use, or the signal (3) to which it is set, or a reception mode of said signal.
  • the card calculates the signature (13) to be displayed by combining these additional parameters (14) with the signal data (32) and the calculation key, in this case the basic key (12). or one of the multiple basic keys.
  • control agent stores these additional parameters (14) in the control station (4), for example by means (45) of input.
  • This control station uses these parameters (14) to calculate and display the control signature.
  • these parameters are preprogrammed in the control station and activated by selection means, for example by pressing a key or a cursor.
  • these additional parameters may be known to the user or displayed on the parking spot. This may include entering information that determines the cost of parking or the maximum amount of parking allowed. This indication may correspond to a geographic or tariff zone, to a type of vehicle or parking, to a level of service including, for example, guarding. These parameters are then entered by the control agent each time he changes the type of zone or service to be controlled.
  • the invention allows the user of the card (1) to use individual data (15) which are specific to its configuration of use, for example to his person, his card or his terminal, to an account user.
  • these individual data (15) are entered and stored in the card (1), for example by the user using the terminal (2), or with the aid of an automated distribution terminal.
  • these individual data (15) are combined with the key (s) (12) already stored to give another key, said key (121) daughter.
  • This daughter key is stored in the card and will be used as a calculation key in the calculation of the signature (13) during the operating phase.
  • these individual data are combined with a mother key to give another key, called daughter key, which is stored in the card.
  • This customization can be done for example by the service provider or a distributor or by an automated distribution terminal.
  • these individual data may possibly be stored in the card, or written on the card, or both.
  • the customization is performed in several times, both before distribution to the user and after this distribution.
  • a master key (120) combined with a personalization data item (151), then gives the base key (12), which will be stored alone in the distributed card.
  • the master key is stored in the personalization machine (5) or in another card (50) serving as a key during personalization.
  • the mother key (120) is not stored in the card (1) distributed, which limits the risk of illegitimate dissemination of this key.
  • this basic key (12) can then be combined with the individual data item (15) to give the daughter key that will be used in the calculation of the signature.
  • the individual data (15) are stored in the card so that it can not be modified by the user.
  • the individual data (15) and the personalization data (151) have at least one common part, or are identical.
  • these individual data condition or modify the operation of the time credit counting program (16). It can be to perform this countdown from a specific account, when the card has several. It may be to use a tariff or an individualized calculation method, or by category.
  • the control agent acquires this individual data (15) or personalization data (151) or both, from the user or by reading on the card, the terminal, or the apparatus which the door.
  • these individual or personalization data are transmitted directly from the terminal to the control station by known means.
  • these personal data or customization are displayed by the terminal and read automatically by reading means of the control station, for example in the form of barcodes.
  • the invention allows for an individualized control.
  • the invention thus makes it possible to control that the user presents an authentic card, valid, activated, and operating according to the parameters corresponding to his identity or his category.
  • the invention thus makes it possible to control that the user presents an authentic, valid, activated, and personalized card coherently with the identification or the category that it presents. .
  • This aspect makes it possible in particular to reduce the risks of using a stolen card.
  • the program of the control station comprises an algorithm, said complementary algorithm (410), able to combine the signature, signature (130) individualized, of a card including individual data (15) with a signature (43) obtained without these same individual data, this combination giving as a result the value of the individual data used by the card.
  • the terminal may then comprise the combined display of the signature (130) individualized, that is to say obtained with these individual data (15), and the signature (13) base, that is to say obtained without these same individual data.
  • the individualized signature (130) of the card (1) may for example be displayed by the terminal (2) in automatically readable form, for example including a barcode.
  • the control agent can then perform a second check on the individual data (15) stored in this card.
  • the control station (4) reads the signature (130) individualized by automated reading means and introduces it into the complementary algorithm (410).
  • This complementary algorithm combines this individualized signature with a basic signature, that (13) of the card or its own (43) if they are identical, and extracts the value of the individual data (15) used by the card.
  • the controlling agent can then compare this individual data with the identification presented by the user to verify that the user is legitimately using the card.
  • control station combines the individualized signature with a signature obtained from the master key (121; figure 3 ) to extract the value of the individual data (15) or the personalization data (151) or one of the two.
  • the invention makes it possible to perform both a non-individualized control, requiring no or little data input for each card control, and to have the possibility of comparing, without additional input, individual data. stored in the card with an identification presented by the user. It is thus possible to reduce risks of illegitimate use of a card, without significantly increasing the work of the screening officer.
  • these individual data may be displayed or written on the terminal, on the map, or on the vehicle. It may be to enter individual or category information that determines the cost of parking or the maximum amount of parking allowed. This indication may correspond to a geographic or tariff zone, to a type of vehicle or parking, to a level of service including, for example, guarding.
  • This data is then read on the vehicle, card or terminal, and entered by the screening officer each time he checks a new vehicle.
  • This individual data may also represent the serial number of the card or terminal, or the registration number of the vehicle, or any other identification visible during parking. The fact that the signature provided by the card depends on such an identification then allows the card to be usable only with this identification.
  • the control agent performs a first check of the validity of the card by reading the basic signature on the terminal. He can then carry out a second check, to check that the card is not stolen or corresponds to the vehicle. For this, the control station automatically reads the individualized signature on the terminal, and extracts the individual data used by the card to generate the same individualized signature. The control agent can then easily compare these individual data extracted by his control station with the identification visible on the vehicle.
  • the protected program (16) performs a count of a credit representing independent units that do not depend on necessarily time. It can then be a number of telephone units counted as payment for a service, a number of game portions, or any type of units or tokens.
  • the invention provides a method and system for controlling a fleet of computerized objects, such as smart cards, used to authenticate a person or device through his possession. of such a computerized object.
  • a computerized object such as smart cards
  • Such an embodiment can also be used to condition the operation of a device or computer software. That is to say that a system or software or device using an application, called protected application, can be used only if the user has such a computerized object.
  • the method and the system as described above are then proposed in a configuration where the program stored in the smart card performs the calculation and transmission only when another program, said protected application, also works, even if this application does not does not have a time credit score.
  • This protected application is then stored at least part of the card, and may include a function controlling the modification of the state or value of the validity data.
  • the invention can thus make it possible to limit the access of a place or the use of a device or a service to the only persons having a smart card distributed by the supplier of this service or the operator of this place or device.
  • This use can then also be conditioned by the activated and controllable presence of such a card.
  • This use may also be conditioned on the activation of another program stored in this card, for example for security reasons. This may be for example the use of a billiard room, a computer, an automobile, or any machine. It can also be a place, device, or system requiring the operation of a specific software to be used in any security, such as virus protection software or an alcohol control system.
  • Such a complete module can be made in the form of a computerized object, portable or not, or be integrated in another device or system.
  • a use of such a computerized module may for example include the fact, for a person or a computer, to authenticate with another system using or including a control station. This authentication can be done by communicating at a given time the individualized signature indicated by the computer module, even through means of communication with few guarantees of confidentiality.
  • a part of the algorithms and data is stored in a passive object, another part is stored in the reader or terminal.
  • the invention comprises a passive object comprising a chip card (1a) only fulfilling functions called “electronic purse", for example according to the standard "Moneo” (registered trademark).
  • This card then stores a balance (17), for example corresponding to a monetary value, and includes algorithms that allow it to receive commands for checking (191) and decrementing (192) this balance.
  • a card (1a) can thus be compatible with several types of services by only including management functions of a monetary balance.
  • control program (10), as well as the additional data entry functionalities (114, 15) are then stored and executed in the terminal (2a). During a control, the control agent then carries out the validity and activity check of the terminal (2a).
  • a time credit check it is the terminal (2a) which includes a program (16a) for counting down and decrementing the value (1) stored in this card (1a). It is this time-counting program (16) that only allows the control or remains activated only as long as this value is not zero. During a check, it is the validity and the activity of the terminal which are then checked by the control agent.
  • a use of such a multiple computerized object may for example comprise the fact, for a person or a computer, of connecting a card (1a) multi-service purse to a terminal (2a) of service-specific identification requiring a control.
  • the invention comprises a terminal (2b) communicating with on the one hand a card (1c) with an electronic purse type chip, and on the other hand part of a passive computerized object (1b), referred to as an identification object.
  • the signature calculation functionalities are then stored and executed in the identification object (1 b).
  • the display or transmission of signatures, the reception and interpretation of the signal, as well as the input of additional data are performed by the terminal (2b).
  • the identification object control program (10) only returns the signature if a protected program (16b), also stored in the identification object (1b), is in operation and indicates to it that the balance (17a) card (1 c) wallet is sufficient.
  • This program (16b) can carry out verification (191) and decrement (192) operations of this balance (17b) by communicating with this card (1c) via the terminal (2b).
  • the control agent In the case of a time credit check, it is the program (16b) protected by the identification object that includes a program for counting down and decrementing the value stored in the wallet card, and only remains active as long as this value is not null. During a check, the control agent then carries out the authenticity and activity check of the identification object, and the validity of the balance of the wallet card.
  • a use of such a multiple computerized object may for example include the fact, for a person or a computer, to connect a multi-service card to a terminal, together with a specific identification object to the service requiring control .
  • the present description sets forth the invention in embodiments comprising a determined distribution of tasks and operations between the various algorithms and programs concerned.
  • the flexibility of the organization of a computer application makes it possible, of course, to present this distribution differently, in particular when the distinctions between the different algorithms and their denominations are abstract notions that do not influence their main operating characteristics.
  • the method according to the invention can also be implemented in other embodiments not described here, without departing from the spirit of the invention, in particular by combining differently the various variants exhibited for each variable or algorithm.
  • the abstract distribution of tasks between programs or applications stored in one place and time can be combined in various variants not described here without departing from the spirit of the invention.

Landscapes

  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

  • La présente invention concerne un procédé de génération de données imprévisibles par un objet comportant des capacités de traitements de données. L'invention concerne en particulier un tel procédé permettant à un objet disposant de telles capacités, par exemple comprenant une carte à puce ou un module d'identité, de disposer de données imprévisibles pour son utilisateur, ces données pouvant être identiques pour plusieurs objets informatisés similaires. L'invention concerne également un procédé et un système de contrôle d'un parc de tels objets, ces objets pouvant servir à authentifier des personnes ou à réaliser un décompte de crédit de temps ou de crédit d'autre nature, ou à mettre en oeuvre des jeux multi joueurs comportant une part aléatoire commune aux participants, ou un contrôle d'utilisation d'un autre dispositif ou système.
  • Il est connu par l'art antérieur des procédés utilisant des algorithmes capables de générer des données apparemment aléatoires, en particulier à partir d'une donnée de base dite graine (« seed » en anglais). Ces algorithmes permettent ainsi de fournir des données qui ne sont pas prévisibles sans la connaissance de la donnée graine, et présentent une répartition de valeurs répondant approximativement à des normes de distribution aléatoires.
  • De telles données imprévisibles ou pseudo-aléatoires peuvent être utilisées pour simuler un tirage aléatoire, par exemple pour programmer dans un ordinateur des jeux utilisant une part de hasard. Ce peut être le cas pour des jeux vidéo ou informatiques pour remplacer un lancer de dés. Cela peut permettre de réaliser un jeu de type loterie réunissant plusieurs utilisateurs d'un même ordinateur, ou des utilisateurs d'ordinateurs reliés entre eux.
  • De telles données pseudo-aléatoires peuvent être utilisées pour fournir dans des programmes quelconques des évènements ne présentant pas de corrélation apparente avec des évènements au sein du programme ou des actions de l'utilisateur. Il peut s'agir de générer des événements aléatoires dans un programme de simulation, par exemple pour générer des conditions météorologiques ou des incidents à gérer.
  • Il peut également s'agir d'authentifier un ordinateur en vérifiant qu'il comporte bien une version déterminée d'un tel algorithme, ou une clé déterminée comportant une donnée utilisable dans un tel algorithme. Cette vérification peut alors se faire en communiquant une telle donnée graine à cet ordinateur et en lui demandant de calculer une donnée pseudo-aléatoire, dite signature, par un tel algorithme. Un tel algorithme peut en particulier comporter l'utilisation d'une clé déterminée. En comparant la signature calculée par l'ordinateur à authentifier avec une signature de contrôle calculée par un ordinateur de référence ou de contrôle possédant le même algorithme et la même clé, il est ainsi possible de vérifier que l'ordinateur comporte bien ces informations sans avoir à dévoiler ces mêmes informations.
  • Le brevet US 5361062 enseigne par exemple un dispositif portable d'identification d'une personne. Ce dispositif génère un code pseudo aléatoire à partir d'un code individuel identifiant cette personne, en combinant ce code individuel avec une donnée extraite d'une horloge embarquée dans le dispositif.
  • Le brevet WO 91 06926 enseigne également d'effectuer un contrôle d'identification de personne, en déclenchant cette génération de code pseudo-aléatoire par un signal reçu par le dispositif. Ce signal est alors émis directement par la station de contrôle et constitue un simple signal de déclenchement du dispositif porté par la personne à identifier.
  • Ces procédés présentent toutefois l'inconvénient qu'ils ne peuvent générer des données pseudo-aléatoires qui soient les mêmes dans plusieurs objets informatisés similaires que dans certaines conditions de coordination. Ces objets doivent par exemple être connectés entre eux à un moment donné pour pouvoir recevoir la même donnée graine. Dans le cas contraire, ces objets peuvent fournir des données pseudo-aléatoires en se basant sur une donnée graine commune, fournie par une horloge initialement commune, qui maintient une synchronisation entre eux. Ces objets doivent alors toutefois comporter une fonction d'horloge qui soit en permanence en fonctionnement. Un tel fonctionnement continu pose des problèmes d'énergie qui limitent l'autonomie et l'encombrement d'un tel objet. Il nécessite également que la synchronisation dans le temps reste parfaite entre tous les objets concernés, ce qui peut être difficile à obtenir sur une grande durée et pour un grand nombre d'objets.
  • Dans cet esprit, le brevet AU 6568686 enseigne d'ailleurs un procédé permettant de re-synchroniser un tel dispositif en cours d'utilisation.
  • La présente invention a donc pour objet de pallier les inconvénients de l'art antérieur en proposant un procédé permettant à une pluralité d'objets informatisés dotés de capacités de traitement de données de générer des données pseudo-aléatoires qui soient identiques d'un objet à l'autre sans nécessiter de communication entre eux.
  • Ce but est atteint par un procédé de génération d'une donnée pseudo-aléatoire par un objet informatisé comportant des moyens de traitement de données, des moyens de mémorisation, ainsi que des moyens d'affichage ou des moyens de communication avec un dispositif de traitement de données dit terminal, ce terminal permettant la génération de la donnée pseudo-aléatoire à partir d'une donnée graine, sans arrêt différente, fournie par la réception d'un signal extérieur, et le calcul par cet objet informatisé d'une donnée numérique pseudo-aléatoire, dite signature, à partir de ce signal, à l'aide d'un algorithme mémorisé dans cet objet, caractérisé en ce que ce calcul s'effectue lors de la réception du signal extérieur, par au moins un objet informatisé ou par au moins un terminal, ce signal variant au cours du temps et étant diffusé, indépendamment de l'état de fonctionnement de l'objet informatisé, dans une zone déterminée et pouvant être reçu ou interprété de façon identique par d'autres objets ou terminaux dans des emplacements différents de cette même zone.
  • Selon une particularité, le signal est un signal radio, c'est-à-dire utilisant des ondes électro-magnétiques, émis par un émetteur de diffusion, le procédé comportant en outre les étapes suivantes :
    • réception du signal radio par le terminal;
    • extraction de données de signal à partir de ce signal radio ;
    • transmission de ces données de signal à l'objet informatisé.
  • Selon une particularité, le signal radio représente des informations comportant des caractéristiques irrégulières ou non prévisibles.
  • Selon une particularité, le signal radio est reçu par la lecture d'une onde sous-porteuse, associée à une diffusion d'ondes radiophoniques.
  • Selon une particularité, le signal comporte l'émission, pendant une pluralité de périodes de temps déterminées, d'une information constante ou interprétable de façon constante à l'intérieur de chacune de ces périodes déterminées, cette information variant d'une de ces périodes à une autre d'une façon irrégulière ou non prévisible.
  • Un autre but est de proposer un procédé d'authentification d'un objet informatisé doté de capacités de traitement de données ou de contrôle de sa validité.
  • Ce but est atteint par un procédé de contrôle d'un objet informatisé, cet objet informatisé comportant des moyens de traitement de données, des moyens de mémorisation, ainsi que des moyens d'affichage ou des moyens de communication avec un dispositif de traitement de données dit terminal, caractérisé en ce qu'il comporte les étapes suivantes :
    • génération d'une donnée pseudo-aléatoire, dite signature, par cet objet informatisé en utilisant un procédé tel que décrit ci-dessus ;
    • affichage de cette signature, ou transmission de cette signature au terminal, pour vérification par rapport à une donnée calculée par un autre appareil à partir du même signal numérique ou analogique, cette vérification pouvant être faite dans le terminal ou en dehors.
  • Selon une particularité, le procédé comporte une étape de comparaison vérifiant la valeur d'une donnée, dite donnée de validité, mémorisée dans l'objet informatisé, cette vérification conditionnant ou modifiant le calcul, l'affichage ou la transmission de la signature.
  • Selon une particularité, le procédé comporte une étape d'affichage, sur des moyens d'affichage du terminal, de la signature reçue par le terminal depuis l'objet informatisé.
  • Selon une particularité, la signature est calculée par l'objet informatisé par un algorithme, dit algorithme de signature, utilisant au moins une donnée, dite clé de calcul.
  • Selon une particularité, la clé de calcul est calculée à partir d'une donnée, dite clé de base, mémorisée dans l'objet informatisé.
  • Selon une particularité, plusieurs données, dites clés de base multiples, sont mémorisées dans l'objet informatisé, le procédé comportant une étape de saisie d'une donnée représentant, parmi ces clés de base multiples, la donnée à utiliser comme clé de base.
  • Selon une particularité, le procédé comporte une étape de personnalisation de l'objet informatisé par saisie d'au moins une donnée, dite donnée individuelle, cette donnée individuelle étant utilisée par l'objet informatisé en combinaison avec la clé de base pour calculer une donnée, dite clé fille, qui sera utilisée comme clé de calcul.
  • Selon une particularité, le procédé comporte une étape de saisie et mémorisation dans l'objet informatisé d'au moins une donnée, dite paramètre supplémentaire, l'algorithme de signature combinant ce paramètre supplémentaire avec la clé de calcul et les données de signal pour calculer la signature.
  • Selon une particularité, le procédé comporte une étape utilisant un algorithme, dit algorithme complémentaire, réalisant l'extraction de la donnée individuelle qui a été utilisée pour générer une signature, dite signature individualisée, en comparant cette signature individualisée avec une signature, dite signature de base, qui a été générée en combinant les mêmes données sauf ladite donnée individuelle.
  • Un autre but est de proposer un procédé d'authentification d'un parc d'objets informatisés dotés de capacités de traitement de données ou de contrôle de leur validité.
  • Ce but est atteint par un procédé d'authentification d'un ou plusieurs objets, ou de leur validité, ces objets appartenant à un parc d'objets distribués à des utilisateurs et mettant en oeuvre un procédé tel que décrit ci-dessus, caractérisé en ce qu'il comporte les étapes suivantes :
    • activation dans une station de traitement de données, dite station de contrôle, d'un algorithme de contrôle reproduisant les résultats de l'algorithme de signature mémorisé dans les objets à authentifier,
    • mémorisation éventuelle, dans la station de contrôle, d'une donnée représentant la clé de base mémorisée dans les objets à authentifier, ou celle des clés de base multiples devant être utilisée comme clé de base ;
    • mémorisation éventuelle, dans la station de contrôle, d'au moins une donnée représentant les paramètres supplémentaires devant être mémorisés dans les objets à authentifier ;
    • pour chaque objet à authentifier utilisant une donnée individuelle, lecture ou réception en provenance de l'objet d'une donnée représentant la donnée individuelle et mémorisation de cette donnée individuelle dans la station de contrôle ;
    • calcul par la station de contrôle, à l'aide de l'algorithme de contrôle, d'une donnée, dite signature de contrôle, en fonction des données éventuellement mémorisées plus haut ;
    • lecture ou réception de la signature calculée par un objet à authentifier et vérification de cette même signature par rapport à la dernière signature de contrôle obtenue par la station de contrôle, ou avec une précédente signature de contrôle.
  • Selon une particularité, la donnée individuelle mémorisée dans l'objet informatisé ne peut être modifiée que dans des conditions déterminées, le procédé comportant en outre les étapes suivantes :
    • calcul par l'objet informatisé et transmission au terminal d'une signature de base sans utilisation de la donnée individuelle ;
    • calcul par l'objet informatisé et transmission au terminal d'une signature individualisée avec utilisation de la donnée individuelle ;
    • affichage de ces signatures, ou transmission de ces signatures au terminal, pour vérification par rapport à au moins une donnée calculée par un autre appareil à partir du même signal numérique ou analogique, cette vérification pouvant être faite dans le terminal ou en dehors.
  • Selon une particularité, la station de contrôle comporte un algorithme complémentaire le procédé comportant en outre les étapes suivantes :
    • mémorisation dans la station de contrôle d'une signature individualisée fournie par l'objet informatisé ;
    • extraction dans la station de contrôle, par l'algorithme complémentaire, de la donnée individuelle utilisée par l'objet informatisé pour générer la signature individualisée, pour comparaison avec une identification fournie ou présentée par l'utilisateur, ou l'objet informatisé, ou le terminal, ou un dispositif ou lieu incluant ou utilisant cet objet informatisé.
  • Un autre but est de proposer un objet informatisé permettant de mettre en oeuvre un des procédés décrits ci-dessus.
  • Un autre but est de proposer un procédé de contrôle d'un parc d'objets informatisé de décompte de crédit de temps dont l'authenticité et la validité peuvent être facilement contrôlées, par exemple par lecture optique.
  • Ce but est atteint par un procédé de contrôle d'un parc d'objets de décompte de crédit de temps, caractérisé en ce qu'il utilise des d'objets informatisés mettant en oeuvre un procédé selon l'une des revendications précédentes, ces objets informatisés d'une part mémorisant une donnée de solde, représentant une valeur de crédit de temps disponible et un programme incluant un algorithme de décompte apte à modifier cette donnée de solde, et d'autre part comportant une donnée de validité présentant un état déterminé lorsque l'algorithme de décompte est activé et que la donnée de solde représente un crédit de temps non nul, cette modification de la donnée de solde se faisant en fonction d'une ou plusieurs durées d'activation de l'objet ; ce procédé comportant les étapes suivantes :
    • distribution à des utilisateurs de tels objets informatisés ;
    • authentification et contrôle de la validité d'un ou plusieurs de ces objets informatisés, à l'aide d'une station de contrôle selon l'une des revendications précédentes, ces objets informatisés étant présentés par les utilisateurs ou accessibles pour contrôle.
  • Selon une particularité, la modification de la donnée de solde se fait également en fonction de données représentant une donnée individuelle, un paramètre supplémentaire, un choix de clé de base, ou une combinaison de ces éléments.
  • Un autre but est de proposer un système mettant en oeuvre un des procédés décrits ci-dessus pour contrôler un parc d'objets informatisés de décompte de crédit de temps ou d'un autre type.
  • Un autre but de l'invention est de proposer un procédé permettant de contrôler l'utilisation d'un dispositif, système, ou logiciel, en vérifiant que l'utilisateur dispose bien d'un objet informatisé déterminé qui soit authentique, valide, activé, ou fonctionnant selon des paramètres déterminés.
  • Ce but est atteint par un procédé de contrôle d'utilisation d'un dispositif ou d'un système comportant ou utilisant un programme informatique, dit application protégée, caractérisé en ce qu'au moins une partie de l'application protégée est exécutée dans un objet informatisé mettant en oeuvre un procédé selon l'une des revendications précédentes, ou utilise un programme exécuté dans ce même objet informatisé, le calcul de la signature ou son affichage par l'objet informatisé ou sa transmission au terminal ne s'effectuant que si l'application protégée est active.
  • Un autre but est de proposer un système mettant en oeuvre le procédé décrit ci-dessus pour contrôler l'utilisation d'un dispositif, système, ou logiciel.
  • Un autre but est de réaliser le contrôle d'un parc d'objets informatisés de décompte de valeur de stationnement.
  • Ce but est atteint par l'utilisation d'un procédé tel que décrit ci-dessus pour contrôler des titres de droit de stationnement de véhicules, caractérisé en ce que les objets informatisés sont des cartes à puces, prépayées ou à crédit, dont une donnée de solde représente une valeur de temps de stationnement.
  • Selon une particularité, au moins un paramètre supplémentaire correspond à une zone géographique de stationnement ou à un type de tarification ou une combinaison des deux.
  • Selon une particularité, au moins une donnée individuelle correspond à une donnée identifiant l'objet informatisé ou à une donnée identifiant un véhicule ou un utilisateur ou un compte utilisateur, ou une combinaison de ces éléments.
  • L'invention, avec ses caractéristiques et avantages, ressortira plus clairement à la lecture de la description faite en référence aux dessins annexés dans lesquels :
    • la figure 1 représente un schéma symbolique de mise en oeuvre d'un procédé selon l'invention dans un mode de réalisation réalisant l'authentification d'un parc de cartes à puce de décompte de temps fonctionnant avec une clé de base unique et permanente ;
    • la figure 2 représente un schéma symbolique de mise en oeuvre d'un procédé selon l'invention dans un mode de réalisation réalisant l'authentification d'un parc de cartes à puce de décompte de temps selon une variante intégrant des paramètres supplémentaires pouvant correspondre à plusieurs types d'usage d'une même carte ;
    • la figure 3 représente un schéma symbolique de mise en oeuvre d'un procédé selon l'invention dans un mode de réalisation réalisant l'authentification d'un parc de cartes à puce de décompte de temps selon une variante intégrant des paramètres supplémentaires pouvant correspondre à plusieurs types d'usage d'une même carte, chaque carte pouvant être personnalisée par l'utilisateur avant usage.
    • la figure 4 représente un schéma symbolique de mise en oeuvre d'un procédé selon l'invention dans un mode de réalisation réalisant l'authentification d'un parc de cartes à puce de décompte de temps selon une variante intégrant des paramètres supplémentaires pouvant correspondre à plusieurs types d'usage d'une même carte, chaque carte pouvant être personnalisée par l'utilisateur avant usage, cette personnalisation pouvant être contrôlée indépendamment de la validité.
  • Dans la présente description, l'invention sera principalement illustrée dans des modes de réalisation utilisant des objets informatisés constitués de ou comprenant une carte à puce (« smartcard » en anglais), dans une quelconque des versions et environnements de fonctionnement disponibles pour ce type d'objet informatisé. Une telle carte à puce comprend ainsi au moins un processeur, des moyens de mémorisation, et des moyens de communication avec un appareil extérieur, dénommé par exemple terminal ou lecteur de carte.
  • Une telle carte à puce se prête particulièrement bien à un grand nombre d'applications du fait de son coût et encombrement réduit, entre autre du fait que son fonctionnement est en quelque sorte passif. C'est-à-dire qu'elle ne fonctionne qu'avec l'énergie d'un terminal et quand elle lui est reliée. Elle est en état de fonctionnement « suspendu » entre deux connections. Cet aspect passif et son absence de consommation énergétique induisent toutefois un certain nombre de contraintes, que l'invention permet de contourner dans un certain nombre d'applications.
  • Des objets informatisés, portables ou non, présentant certaines caractéristiques ou contraintes différentes de la carte à puce classique peuvent toutefois avantageusement utiliser la présente invention, par exemple pour des raisons d'autonomie, de simplicité de mise en oeuvre, de coût de mise en oeuvre. Il peut s'agir par exemple de boîtiers incorporant également des moyens d'affichage ou de saisie plus ou moins sommaires, de modules intégrant la mise en oeuvre de l'invention parmi d'autres fonctions, sous des formes physiques et électroniques variées.
  • Il doit donc être bien compris que le ou les objets comportant des capacités de traitement de données désignés comme objets informatisés dans la présente description peuvent présenter des configurations très différentes de la carte à puce ici illustrée, sans sortir de l'esprit de l'invention. Il peut en particulier s'agir d'objets qui sont physiquement solidaires d'objets ou dispositifs importants ou volumineux ou incorporés à de tels dispositifs. De tels objets peuvent par exemple ne pas être portables, mais bénéficier d'une autonomie de fonctionnement importante par rapport au dispositif auquel ils se rapportent, et réalisent à sa demande des tâches complètes et avec des ressources dont la faible ampleur pourrait leur permettre d'être réalisés sous une forme portable.
  • En ce sens, il faut considérer que les objets informatisés auxquels s'appliquent la présente description incluent des dispositifs de traitement de données de faibles capacités tels qu'habituellement désignés par le terme « d'informatique embarquée », souvent utilisé pour traduire le terme anglais de « embedded computer », c'est-à-dire « ordinateur enfoui », ou « incorporé ». Une telle présentation de l'étendue des dispositifs relevant de l'informatique embarquée peut être trouvée par exemple dans l'ouvrage « Java embarqué » (Eyrolles - Paris 1999).
  • Selon les applications, l'invention pourra être utilisée dans un mode de réalisation présentant différentes répartitions des fonctions décrites ci-dessous, en un ou plusieurs objets séparés ou séparables.
  • Ces fonctionnalités pourront en particulier être réparties selon les configurations suivantes, qui seront décrites plus complètement par la suite :
    • « Module complet » : chaque objet informatisé comprend à la fois les algorithmes et données nécessaires, et des moyens d'interfaces avec l'extérieur.
    • « Objet informatisé complet et passif » : chaque objet informatisé comprend les algorithmes et données nécessaires, ainsi que des moyens de calculs et de mémorisation. De tels objets sont utilisés avec un terminal qui comprend des moyens d'interface avec l'extérieur.
    • « Objet informatisé multiple » : chaque objet informatisé est composé de plusieurs objets ne comprenant chacun qu'une part des algorithmes et données nécessaires. Un ou plusieurs de ces objets comprennent tout ou partie des moyens d'interface avec l'extérieur.
  • Dans le cas d'un objet informatisé « passif », pour pouvoir être activé et utilisé, un tel objet doit être connecté à un appareil ou terminal disposant de moyens d'interfaces avec l'utilisateur. L'objet informatisé ne peut alors communiquer que de manière purement électronique avec l'extérieur, avec ce terminal. Cette communication se fait par exemple suivant un protocole tel que le format « APDU » dans le cas d'une carte à puce répondant à la norme ISO 7816.
  • La séparation des tâches entre le terminal et la carte à puce fait que les fonctions spécifiques à une utilisation et les fonctions de sécurité qui vont avec sont mémorisées et traitées entièrement à l'intérieur de la carte, le terminal ne servant que d'intermédiaire. Du fait du faible coût de la carte en elle-même, nombres d'applications sont possibles qui dépendent directement de la carte, celle-ci étant l'élément sécurisé et renfermant la valeur d'usage de l'application. Le terminal n'est alors qu'un outil interchangeable, et les applications envisageables peuvent alors comporter des nombres importants de cartes à puces à la fois sécurisées et à faibles coûts, de la même façon que pour les cartes de téléphones, les diverses cartes bancaires, ou toutes sortes de cartes de fidélité ou autres.
  • Pour obtenir la génération de données imprévisibles pour l'utilisateur d'une carte à puce, il est possible d'utiliser un algorithme, dit algorithme de signature, comportant un algorithme pseudo-aléatoire, en lui fournissant une donnée graine. En particulier pour des applications comportant un nombre important de cartes produites, il est important de fournir à cet algorithme de signature une donnée graine qui soit toujours différente. En effet, s'il est possible de fournir une donnée graine qui soit la même lors de plusieurs utilisations, il est alors possible d'obtenir des valeurs qui soient également les mêmes pour les données pseudo-aléatoires qui en résulteront.
  • Pour fournir une donnée graine qui soit sans arrêt différente, l'invention propose d'utiliser un terminal, ici dénommé terminal, qui comporte la capacité de recevoir un signal extérieur, par exemple un signal radio-diffusé. La technologie de réception d'une onde radio, c'est-à-dire électro-magnétique, par exemple les signaux d'émetteurs radiophoniques, fourni aujourd'hui des solutions de réception à la fois économiques et peu encombrantes.
  • Pour les applications utilisant des objets informatisés « complets et passifs », l'invention propose alors un procédé comportant la réception d'une onde radio par un terminal connecté à une carte à puce. Le terminal comprend des moyens de réception radio d'un type connu, qui lui permettent de recevoir un signal radio, soit sous une forme numérique soit sous une forme analogique selon les variantes de l'invention. Le signal reçu est alors interprété à travers un module d'interprétation pouvant comprendre un convertisseur analogique-numérique.
  • Un type de signal radio utilisé peut être avantageusement reçu selon la technologie de réception d'une onde « sous-porteuse », telle que celle utilisée pour la transmission aux récepteurs FM (Modulation de Fréquence) d'informations supplémentaires selon la norme « RDS », par exemple le nom de la station radiophonique captée ou le titre d'une musique diffusée. Cette technologie sous-porteuse peut également être utilisée en mode Grandes Ondes ou AM (Modulation d'Amplitude) avec l'avantage d'une portée de réception plus importante, jusqu'à 2000 km pour un émetteur de radiodiffusion publique important.
  • Le signal radio utilisé peut toutefois être de n'importe quelle catégorie d'onde électromagnétique sans sortir de l'esprit de l'invention, par exemple un signal de télévision d'origine hertzienne ou satellite, ou un signal émis par un satellite quelconque comme un satellite de positionnement GPS.
  • Dans un mode de réalisation, le module d'interprétation du terminal extrait une ou plusieurs données numériques qui sont ensuite transmises à la carte pour servir de donnée graine dans un algorithme de génération de données pseudo-aléatoires.
  • Dans un mode de réalisation de l'invention, de telles données pseudo aléatoires sont utilisées par un programme au sein de la carte pour mettre en oeuvre un jeu de hasard, comportant éventuellement des gains. Des cartes sont par exemple vendues de façon similaire à des bulletins de jeu à gratter, et l'aspect aléatoire obtenu par la fourniture d'une donnée graine externe permet d'affirmer sans tromperie que toutes les cartes ont réellement la même chance de gagner. La sécurité du processus face à la fraude peut alors être assurée par des moyens connus de sécurisation des données contenues dans une carte à puce. Dans une autre phase, la validation d'une carte gagnante peut par exemple comprendre une authentification de la carte par comparaison d'une signature obtenue en fournissant une nouvelle donnée graine à cette même carte. Cette signature doit alors être identique à une signature de contrôle obtenue à partir de cette même donnée graine, par une station de contrôle utilisant un algorithme identique ou équivalent.
  • Dans un mode de réalisation permettant un jeu à plusieurs joueurs, l'invention comprend la diffusion d'un certain nombre de cartes à des joueurs différents. En utilisant un signal couvrant une zone géographique d'une étendue déterminée, il est alors possible à toutes les cartes se trouvant dans cette zone de générer des données à la fois aléatoires et qui soient les mêmes sur chacune de ces cartes.
  • Un mode de réalisation comprend alors une loterie utilisant un numéro de série propre à chaque carte pour obtenir une ou plusieurs cartes gagnantes en générant un ou plusieurs nombres au même moment sur toutes les cartes actives à ce moment.
  • Un autre mode de réalisation comprend la sélection pour chaque carte, par l'intermédiaire des moyens d'interface d'un terminal quelconque, d'une série de numéros à parier. Un tirage aléatoire peut alors être réalisé à un moment donné, qui donnera des numéros gagnants communs à toutes les cartes activées. Les cartes ayant mémorisé des numéros pariés correspondant aux numéros issus du tirage peuvent alors se reconnaître comme gagnantes et fournir un calcul ou une validation des gains.
  • De nombreuses applications peuvent nécessiter des éléments aléatoires qui soient communs à plusieurs utilisateurs.
  • Dans un mode de réalisation, un programme de réalité virtuelle ou de simulation, ludique ou d'entraînement, détermine des conditions aléatoires de fonctionnement. Ces conditions, par exemple de météorologie ou de résultats de combats, sont alors impossibles à prévoir ou à falsifier pour les participants à l'application.
  • Dans cette configuration utilisant un « objet informatisé complet et passif », le terminal peut présenter des formes variées, qui n'interfèrent que peu ou pas sur le mode de fonctionnement et la sécurité du procédé. Un tel terminal peut par exemple être intégré dans un radiotéléphone portable, dans un lecteur portable d'enregistrements sonores, dans un poste de télévision, dans une borne interactive, dans un ordinateur portable ou de bureau, ou relié à un tel appareil.
  • Dans un mode de réalisation représenté en figures 1 à 4, l'invention propose un procédé et un système réalisant le contrôle d'un parc d'objets informatisés, tels que des cartes (1) à puces. Dans l'exemple présenté, les cartes à puces sont utilisées pour décompter un crédit de temps. Dans certaines variantes ce temps peut correspondre à des valeurs différentes, par pondération en fonction de paramètres supplémentaires modifiables pour chaque utilisation.
  • Dans une utilisation de l'invention, ces objets informatisés comprennent des cartes à puces, par exemple prépayées ou rechargeables, mémorisant un solde représentant une valeur de temps de stationnement de véhicule. Dans une variante, ce solde peut être payé de diverses autres façons, par exemple en étant imputé sur un compte utilisateur pour paiement ultérieur, ou facturé après consommation ou de façon périodique.
  • A un stade dit de distribution, un certain nombre de cartes à puces sont fabriquées ou personnalisées ou paramétrées de façon à mémoriser une application gérant la mise en oeuvre du procédé. Cette application comprend un programme, dit programme (10) de contrôle, utilisant un algorithme (11) de signature apte à effectuer le calcul d'une signature (13) à partir d'une donnée représentant une clé dite clé de calcul et de données graines pouvant être reçues ultérieurement. Cette application comprend également des fonctionnalités permettant d'activer un décompte de temps, ce décompte provoquant la variation d'une durée ou d'une valeur de crédit de temps, mémorisée dans une donnée dite donnée (17) de solde. Ces cartes sont alors distribuées à des utilisateurs d'un service fournis par un ou plusieurs fournisseurs de services.
  • Selon les variantes, l'algorithme (11) de signature peut comporter un algorithme effectuant par exemple un codage ou cryptage symétrique, ou à clé secrète, ou un codage ou cryptage asymétrique, ou à clé publique et clé privée.
  • Selon les variantes, une même clé (12) de base peut être mémorisée dans toutes les cartes, ou un jeu de différentes clés de base dites multiples permettant un changement ultérieur de la clé (12) de base à utiliser sans remise à jour des cartes déjà distribuées.
  • Dans une utilisation typique, la ou les clés de base peuvent varier suivant le fournisseur de service qui émet ou distribue ces cartes. Ces clés de base peuvent également varier suivant le fabricant de la carte ou le prestataire de personnalisation. Ces clés de base peuvent bien sûr varier suivant le type de service à décompter, ou une catégorie à l'intérieur d'un même type de service. Une information, dite code de clé, peut être inscrite ou codée de façon lisible sur la carte, identifiant la clé de base ou le jeu de clés de base mémorisé dans cette carte. Une telle information permet alors à un agent de contrôle de paramétrer une station (4) de contrôle en saisissant ce code de clé. Si la valeur de la ou les clés de base correspondant à ce code est déjà mémorisée dans la station de contrôle, la saisie de ce code de clé permet alors à la station de contrôle d'utiliser comme clé de calcul la même clé de base que la carte de l'utilisateur sans que ni l'utilisateur ni l'agent de contrôle ne connaissent la valeur d'aucune de ces clés. Le choix de la clé de base ou des clés de base à utiliser peut également être défini par un code de clé contenu dans les données de signal extraites du signal.
  • Dans une utilisation de contrôle de stationnement, des cartes prépayées ou rechargeables sont vendues par exemple aux automobilistes, et contiennent une donnée de solde représentant soit une durée soit un montant monétaire.
  • Dans un mode de réalisation représenté plus particulièrement en figure 1, l'invention utilise une seule et même clé de base comme clé de calcul pour un ensemble de cartes distribuées.
  • Dans une phase d'activation, l'utilisateur du service active sa carte (1) en l'insérant dans un terminal (2) comportant des moyens de communication (21) avec cette carte, par exemple par connexion électrique ou par antenne radio courte portée. Ce terminal comporte également des moyens (22) d'affichage, par exemple un écran à cristaux liquides, des moyens d'alimentation en énergie, et des moyens (23) de réception radio d'un type connu. Ces moyens de réception lui permettent de recevoir un signal (3) radio, par exemple par décodage d'une onde sous-porteuse émise par un émetteur radiophonique en modulation d'amplitude. Le terminal comporte également module (24) d'interprétation apte à générer des données numériques dites données (32) de signal à partir du signal (3) reçu par les moyens (23) de réception.
  • Dans une phase de fonctionnement, l'utilisateur laisse la carte (1) dans le terminal (2) tout le temps qu'il souhaite activer le décompte de temps, par exemple en paiement du service, ou comme moyen de contrôle d'une durée maximale d'utilisation de ce service. Tout au long de cette phase de fonctionnement, le terminal reçoit le signal (3) radio et interprète ce signal pour en extraire des données (32) de signal. Ces données de signal sont donc générées tant que le terminal se trouve dans la zone couverte par la diffusion de ce signal avec une qualité suffisante pour que l'interprétation numérique de ce signal puisse se faire de façon non ambiguë.
  • Le signal utilisé peut par exemple être basé sur la réception l'un signal indiquant l'heure universelle, par exemple celui émis par l'émetteur de Francfort. L'utilisation d'un signal non prévisible permet toutefois de diminuer encore les risques de fraudes. En effet, il est plus difficile à un fraudeur de prévoir les signatures devant être générées à un instant futur s'il ne dispose pas de la nature du signal qui sera diffusé à l'instant en question.
  • De façon avantageuse, le module (23) d'interprétation extrait les données numériques à partir d'une onde sous-porteuse de façon connue, par exemple selon la technologie RDS utilisée pour transmettre le nom de certaines stations radiophoniques.
  • Dans une variante où le signal utilisé ne comporte pas d'informations spécifiquement prévues pour cet usage, ce signal est interprété suivant une période d'échantillonnage déterminée. Les données (32) de signal sont alors calculées en établissant une moyenne de certaines caractéristiques du signal sur cette période d'échantillonnage. Ces caractéristiques sont choisies de façon à ce que leur interprétation ne dépende pas ou peu de la puissance de réception du signal, de façon à ce que les données de signal extraites soient indépendantes de l'emplacement du terminal (2).
  • A partir d'un signal analogique il est par exemple possible d'interpréter certaines caractéristiques du signal peu dépendantes de la qualité de réception, par exemple une fonction des temps de silence au sein des sons radiodiffusés. La valeur de la fonction obtenue peut alors être comparée à une liste prédéterminée de plages de valeurs pour obtenir une donnée numérique non ambiguë dans le temps et constante d'un emplacement de réception à un autre.
  • Au cours de la phase de fonctionnement, c'est-à-dire tant que la carte (1) est activée, un programme (16), dit programme protégé, mémorisé dans cette carte effectue le décompte du temps qui s'écoule, et modifie la donnée (17) de solde en fonction de ce décompte. Lorsque le crédit de temps est épuisé, le programme (16) modifie l'état d'une donnée dite donnée (18) de validité, ou interromps éventuellement son propre fonctionnement. Le programme peut prévoir d'autres cas où la donnée de validité est modifiée, par exemple en cas d'erreur ou de tentative de fraude. La donnée de validité peut également comprendre des informations relatives à la quantité ou au montant de crédit temps restant, ou aux raisons pour lesquelles le fonctionnement n'est plus valide. Cette donnée de validité peut également mémoriser le temps écoulé depuis l'instant où le fonctionnement n'est plus valide. En cas de non-validité, ces informations de non-validité peuvent être transmises au terminal (2) pour affichage ou transmission à un autre appareil.
  • De façon répétée tout au long de la phase de fonctionnement, la carte (1) reçoit de nouvelles données (32) de signal. En combinant ces données de signal avec une clé de calcul, par exemple la clé (12) de base, l'algorithme (11) de signature du programme (10) de contrôle calcule la signature (13). Cette signature est transmise au terminal (2), qui l'affiche sur ses moyens d'affichage (22). Ce calcul de la signature, ou sa transmission au terminal, ne se fait que tant que le programme (16) protégé est actif, ou que la donnée (18) de validité indique que le fonctionnement est autorisé, et en particulier que le crédit-temps alloué n'est pas dépassé.
  • On comprend bien qu'ainsi toutes les cartes activées et valides dans une zone couverte par un même signal (3) vont générer des signatures qui seront toutes identiques entre elles, tout en variant au cours du temps de façon imprévisible sans la connaissance de l'algorithme de signature et de la clé de calcul, en l'occurrence la clé (12) de base ou l'une des clés de base multiples.
  • Lorsque le signal comporte une caractéristique régulière permettant une synchronisation des périodes d'échantillonnage ou de calcul de la signature, il est possible à chaque carte d'effectuer son changement de signature au même moment. Si une période complète est nécessaire pour calculer la signature, une carte nouvellement activée pourra alors afficher une signature déterminée, ou signature de démarrage, en attendant la prochaine période complète. L'ensemble des cartes de la zone pourra alors changer de signature au même moment.
  • Lorsque le signal ne comporte pas de caractéristiques de synchronisation, des cartes différentes pourront effectuer leur changement de signature à des moments différents, le plus souvent espacés de moins d'une période de changement de signature.
  • Dans une variante (non représentée), le terminal ou la carte reçoit également un deuxième signal indiquant l'heure universelle et utilise ce deuxième signal pour synchroniser les périodes de calcul de ses données de signal ou de sa signature.
  • Pour réaliser un contrôle des cartes de crédit de temps du parc dans une zone couverte par le signal, un opérateur humain ou automatique, dit agent de contrôle, agissant pour le compte du fournisseur de service peut alors utiliser une station (4) de contrôle apte à générer les mêmes données (324) de signal qu'une carte (1) recevant ce même signal (3). Cette station de contrôle mémorise un programme utilisant un algorithme (41) capable d'obtenir les mêmes résultats que celui des cartes à contrôler, lorsqu'il dispose des mêmes éléments.
  • En étant réglée sur le même signal (3), et en utilisant la même clé (12) de base que les cartes à contrôler, la station de contrôle pourra donc afficher une signature (43) de contrôle identique à la signature (13) des cartes à contrôler. Dans les variantes où les cartes effectuent leur changement de signature de façon non synchrone, la station de contrôle peut mémoriser les signatures antérieures et afficher plusieurs signatures en même temps, par exemple toutes les signatures actuellement valides à un moment donné.
  • En comparant la signature (13) affichée par une carte (1) contrôlée avec la signature (43) de contrôle affichée par la station (4) de contrôle, l'agent de contrôle peut alors savoir si cette carte contient bien un algorithme (11) de signature et une clé de calcul valide et si son fonctionnement est correctement activé. Il est ainsi possible à l'agent de contrôle de savoir si l'utilisateur satisfait à des exigences de contrôles, pouvant être affichées sur place ou autrement connues, et de prendre des mesures en conséquence.
  • Selon les applications, le terminal peut être propre à chaque utilisateur, à chaque carte, être prêté à l'utilisateur, ou être intégré dans un appareil remplissant d'autres fonctions similaires ou non.
  • Dans une utilisation en contrôle de stationnement, les conducteurs de véhicule désirant stationner peuvent ainsi utiliser un terminal placé de façon visible dans leur véhicule pour justifier de l'achat d'une carte de stationnement et prouver que cette est activée pendant la durée d'un stationnement. Un agent de contrôle peut alors être une personne équipée d'une station de contrôle qui vérifie auprès de chaque véhicule que la carte est activée et valide, par comparaison de la signature de la carte avec la signature de contrôle.
  • Dans une variante, le calcul de la signature ou sa transmission ne s'effectue que sur demande de l'agent de contrôle, par déclenchement d'une commande. Ce déclenchement peut se faire par exemple en appuyant sur un bouton sur le terminal, ou en envoyant une commande au terminal depuis la station de contrôle par exemple par voie électrique ou radio ou magnétique, par un transpondeur magnétique ou en présentant une pièce métallique à proximité de capteurs magnétiques reliés au terminal.
  • Dans une variante, la signature est communiquée ou transmise directement à la station de contrôle par des moyens connus.
  • Dans une autre variante, la signature est affichée sous une forme lisible de façon automatique par la station de contrôle, par exemple par lecture de codes barres. La station de contrôle dispose alors de moyens de lecture automatisée lui permettant de lire automatiquement la signature affichée par le terminal, par exemple sous forme de codes barres. Ces moyens de lecture automatisée peuvent également être prévus pour lire automatiquement d'autres informations inscrites ou affichées sur la carte ou sur le terminal, comme par exemple des données individuelles ou des paramètres supplémentaires comme décrits plus bas.
  • Dans un mode de réalisation représenté plus particulièrement en figure 2, l'invention permet à l'utilisateur de la carte (1) d'utiliser des paramètres (14) supplémentaires qui conditionneront le mode de fonctionnement de cette carte une fois activée. Ces paramètres supplémentaires peuvent être saisis ou modifiés par l'utilisateur, par exemple lors de chaque activation. Cette saisie ou modification peut se faire par exemple à l'aide du terminal (2) qui comporte alors des moyens de saisie (25). Ces paramètres supplémentaires peuvent affecter par exemple la vitesse de décompte du crédit de temps ou la valeur d'une unité de temps. Ces paramètres (14) supplémentaires peuvent également comprendre une information identifiant le service ou le fournisseur de service pour lequel la carte (1) est utilisée, ou la zone d'utilisation, ou le signal (3) sur lequel elle est réglée, ou un mode de réception dudit signal.
  • Lors de la phase de fonctionnement, la carte calcule la signature (13) à afficher en combinant ces paramètres (14) supplémentaires avec les données (32) de signal et la clé de calcul, en l'occurrence la clé (12) de base ou l'une des clés de base multiples.
  • Pour le contrôle, l'agent de contrôle mémorise ces paramètres (14) supplémentaires dans la station (4) de contrôle, par exemple par des moyens (45) de saisie. Cette station de contrôle utilise alors ces paramètres (14) supplémentaires pour calculer et afficher la signature de contrôle. Dans une variante, ces paramètres sont préprogrammés dans la station de contrôle et activés par des moyens de sélection comme par exemple par action sur une touche ou un curseur.
  • On comprend bien qu'en saisissant ces paramètres (14) supplémentaires, l'utilisateur effectue un paramétrage du fonctionnement de la carte. Ces paramètres étant pris en compte dans le calcul de la signature (13), cette signature ne concordera avec la signature (43) de contrôle que si les paramètres supplémentaires mémorisés dans la carte (1) sont conformes à ceux mémorisés dans la station (4) de contrôle. Ainsi, quand le mode de fonctionnement obtenu par ces paramètres supplémentaires est une condition d'utilisation du service motivant le contrôle, l'invention permet de contrôler que l'utilisateur présente bien une carte authentique, valide, activée, et fonctionnant selon les bons paramètres.
  • Dans une utilisation en contrôle de stationnement, ces paramètres supplémentaires pourront être connus par l'utilisateur ou affichés sur le lieu de stationnement. Il peut s'agir de saisir une information conditionnant le coût du stationnement ou la durée maximale de stationnement autorisée. Cette indication peut correspondre à une zone géographique ou tarifaire, à un type de véhicule ou de stationnement, à un niveau de service incluant par exemple le gardiennage. Ces paramètres sont alors saisis par l'agent de contrôle chaque fois qu'il change de type de zone ou service à contrôler.
  • Dans un mode de réalisation représenté plus particulièrement en figures 3 et 4, l'invention permet à l'utilisateur de la carte (1) d'utiliser des données (15) individuelles qui sont propres à sa configuration d'utilisation, par exemple à sa personne, à sa carte ou son terminal, à un compte utilisateur.
  • Dans le cas d'une personnalisation après distribution (figure 4), ces données (15) individuelles sont saisies et mémorisées dans la carte (1), par exemple par l'utilisateur à l'aide du terminal (2), ou à l'aide d'une borne de distribution automatisée. Dans la carte, ces données (15) individuelles sont combinées avec la ou les clés (12) de base déjà mémorisées pour donner une autre clé, dite clé (121) fille. Cette clé fille est mémorisée dans la carte et sera utilisée comme clé de calcul dans le calcul de la signature (13) lors de la phase de fonctionnement.
  • Dans une variante (non représentée) où une personnalisation est effectuée avant distribution, ces données individuelles sont combinées avec une clé mère pour donner une autre clé, dite clé fille, qui est mémorisée dans la carte. Cette personnalisation peut être faite par exemple par le fournisseur de service ou un distributeur ou par une borne de distribution automatisée. Selon les applications, ces données individuelles peuvent éventuellement être mémorisées dans la carte, ou inscrite sur la carte, ou les deux.
  • Dans le mode de réalisation représenté plus particulièrement en figure 3, la personnalisation est réalisée en plusieurs temps, à la fois avant distribution à l'utilisateur et après cette distribution. Avant distribution, une clé-mère (120), combinée avec une donnée (151) de personnalisation, donne alors la clé de base (12), qui sera seule mémorisée dans la carte distribuée. La clé-mère, est mémorisée dans la machine (5) de personnalisation ou dans une autre carte (50) servant de clé lors de la personnalisation. De façon avantageuse, la clé mère (120) n'est pas mémorisée dans la carte (1) distribuée, ce qui limite les risques de diffusion illégitime de cette clé mère. Après distribution, cette clé (12) de base peut alors être combinée avec la donnée (15) individuelle pour donner la clé fille qui sera utilisée dans le calcul de la signature.
  • Dans une variante, les données (15) individuelles sont mémorisées dans la carte de façon à ne pouvoir être modifiées par l'utilisateur.
  • Dans une variante, les données (15) individuelles et les données (151) de personnalisation ont au moins une partie commune, ou sont identiques.
  • Dans une variante, ces données individuelles conditionnent ou modifient le fonctionnement du programme (16) de décompte de crédit de temps. Il peut s'agir d'effectuer ce décompte à partir d'un compte déterminé, lorsque la carte en comporte plusieurs. Il peut s'agir d'utiliser un tarif ou un mode de calcul individualisé, ou par catégorie.
  • Pour le contrôle, l'agent de contrôle prend connaissance de ces données (15) individuelles ou des données (151) de personnalisation ou des deux, auprès de l'utilisateur ou par lecture sur la carte, le terminal, ou l'appareil qui les porte. Dans une variante, ces données individuelles ou de personnalisation sont transmises directement du terminal à la station de contrôle, par des moyens connus. Dans une autre variante, ces données individuelles ou de personnalisation sont affichées par le terminal et lues automatiquement par des moyens de lecture de la station de contrôle, par exemple sous forme de codes barres.
  • On comprend bien qu'ainsi l'invention permet d'effectuer un contrôle individualisé. Dans le cas d'un paramétrage individualisé du fonctionnement du décompte de crédit temps, l'invention permet ainsi de contrôler que l'utilisateur présente bien une carte authentique, valide, activée, et fonctionnant selon les paramètres correspondant à son identité ou à sa catégorie. Dans le cas d'un paramétrage individualisé une fois pour toutes, l'invention permet ainsi de contrôler que l'utilisateur présente bien une carte authentique, valide, activée, et personnalisée de façon cohérente avec l'identification ou la catégorie qu'il présente. Cet aspect permet en particulier de diminuer les risques d'utilisation d'une carte volée.
  • Dans une variante représentée plus particulièrement en figure 4, le programme de la station de contrôle comprend un algorithme, dit algorithme (410) complémentaire, apte à combiner la signature, signature (130) individualisée, d'une carte incluant des données (15) individuelles avec une signature (43) obtenue sans ces mêmes données individuelles, cette combinaison donnant comme résultat la valeur des données individuelles utilisées par la carte. Le terminal peut alors comporter l'affichage combiné de la signature (130) individualisée, c'est-à-dire obtenue avec ces données (15) individuelles, et de la signature (13) de base, c'est-à-dire obtenue sans ces mêmes données individuelles.
  • Dans une telle variante, la signature (130) individualisée de la carte (1) peut par exemple être affichée par le terminal (2) sous une forme lisible automatiquement, par exemple incluant un code barre. Lorsqu'il a effectué un premier contrôle de la validité de la carte, comme décrit précédemment, l'agent de contrôle peut alors effectuer un deuxième contrôle portant sur les données (15) individuelles mémorisées dans cette carte. Dans ce deuxième contrôle, la station (4) de contrôle lit la signature (130) individualisée par des moyens de lecture automatisée et l'introduit dans l'algorithme (410) complémentaire. Cet algorithme complémentaire combine cette signature individualisée à une signature de base, celle (13) de la carte ou la sienne (43) propre si elles sont identiques, et en extrait la valeur des données (15) individuelles utilisées par la carte. L'agent de contrôle peut alors comparer ces données individuelles avec l'identification présentée par l'utilisateur pour vérifier que cet utilisateur utilise cette carte de façon légitime.
  • Dans une variante (non représentée), la station de contrôle combine la signature individualisée avec une signature obtenue à partir de la clé mère (121 ; figure 3) pour extraire la valeur des données (15) individuelles ou des données (151) de personnalisation ou de l'une des deux.
  • On comprend qu'ainsi l'invention permet de réaliser à la fois un contrôle non individualisé, ne nécessitant pas ou peu de saisie de données pour chaque contrôle de carte, et d'avoir la possibilité de comparer, sans saisie supplémentaire, des données individuelles mémorisées dans la carte avec une identification présentée par l'utilisateur. Il est ainsi possible de diminuer les risques d'utilisation illégitime d'une carte, sans alourdir le travail de l'agent de contrôle de façon importante.
  • Dans une utilisation en contrôle de stationnement, ces données individuelles peuvent être affichées ou inscrites sur le terminal, sur la carte, ou sur le véhicule. Il peut s'agir de saisir une information individuelle ou par catégorie conditionnant le coût du stationnement ou la durée maximale de stationnement autorisée. Cette indication peut correspondre à une zone géographique ou tarifaire, à un type de véhicule ou de stationnement, à un niveau de service incluant par exemple le gardiennage.
  • Ces données sont alors lues sur le véhicule, la carte ou le terminal, et saisies par l'agent de contrôle chaque fois qu'il contrôle un nouveau véhicule.
  • Ces données individuelles peuvent également représenter le numéro de série de la carte ou du terminal, ou le numéro d'immatriculation du véhicule, ou toute autre identification visible lors du stationnement. Le fait que la signature fournie par la carte dépende d'une telle identification permet alors à la carte de n'être utilisable qu'avec cette identification.
  • Dans une variante du contrôle de stationnement utilisant un algorithme complémentaire, l'agent de contrôle réalise un premier contrôle, de validité de la carte, par lecture de la signature de base sur le terminal. Il peut alors effectuer un deuxième contrôle, pour vérifier que la carte n'est pas volée ou correspond bien au véhicule. Pour cela, la station de contrôle lit automatiquement la signature individualisée sur le terminal, et en extrait les données individuelles utilisées par la carte pour générer cette même signature individualisée. L'agent de contrôle peut alors comparer aisément ces données individuelles extraites par sa station de contrôle avec l'identification visible sur le véhicule.
  • Dans une variante, le programme (16) protégé réalise un décompte d'un crédit représentant des unités indépendantes qui ne dépendent pas forcément du temps. Il peut s'agir alors d'un nombre d'unités téléphoniques décomptées en paiement d'un service, d'un nombre de parties de jeu, ou de tout type d'unités ou de jetons.
  • Dans un mode de réalisation (non représenté), l'invention propose un procédé et un système réalisant le contrôle d'un parc d'objets informatisés, tels que des cartes à puces, utilisés pour authentifier une personne ou un dispositif à travers sa possession d'un tel objet informatisé. Un tel mode de réalisation peut également être utilisé pour conditionner le fonctionnement d'un dispositif ou d'un logiciel informatique. C'est-à-dire qu'un système ou logiciel ou dispositif utilisant une application, dite application protégée, ne peut être utilisée que si l'utilisateur dispose d'un tel objet informatisé.
  • Le procédé et le système tels que décrits plus haut sont alors proposés dans une configuration où le programme mémorisé dans la carte à puce effectue le calcul et la transmission seulement lorsqu'un autre programme, dit application protégée, fonctionne également, même si cette application ne comporte pas de décompte de crédit de temps. Cette application protégée est alors mémorisée au moins partie dans la carte, et peut comporter une fonction commandant la modification de l'état ou de la valeur de la donnée de validité.
  • L'invention peut ainsi permettre de limiter l'accès d'un lieu ou l'utilisation d'un dispositif ou d'un service aux seules personnes disposant d'une carte à puce distribuée par le fournisseur de ce service ou l'exploitant de ce lieu ou dispositif. Cette utilisation peut alors également être conditionnée à la présence activée et contrôlable d'une telle carte. Cette utilisation peut de plus être conditionnée à l'activation d'un autre programme mémorisé dans cette carte, par exemple pour des raisons de sécurité. Il peut s'agir par exemple de l'utilisation d'une salle de billard, d'un ordinateur, d'une automobile, ou d'un engin quelconque. Il peut également s'agir d'un lieu, dispositif, ou système nécessitant le fonctionnement d'un logiciel spécifique pour être utilisé en toute sécurité, comme un logiciel de protection anti-virus ou un système de contrôle d'alcoolémie.
  • Dans le cas d'un objet informatisé « en module complet », le terminal et la carte décrits plus haut sont regroupés dans un même module. Cet objet informatisé, ou module, regroupe alors les moyens de réception du signal, les moyens d'interprétation du signal, les moyens d'affichage ou de transmission de la ou des signatures, et les éventuels moyens de saisie.
  • Un tel module complet peut être réalisé sous la forme d'un objet informatisé, portable ou non, ou être intégré dans un autre dispositif ou système.
  • Une utilisation d'un tel module informatisé peut par exemple comprendre le fait, pour une personne ou un ordinateur, de s'authentifier auprès d'un autre système utilisant ou comportant une station de contrôle. Cette authentification peut se faire en communiquant à un moment donné la signature individualisée indiquée par le module informatisé, même à travers des moyens de communication présentant peu de garanties de confidentialité.
  • Dans le cas d'un « objet informatisé multiple », une partie des algorithmes et données est mémorisée dans un objet passif, une autre partie est mémorisée dans le lecteur ou terminal.
  • Dans un mode de réalisation de ce type, représenté en figure 5, l'invention comporte un objet passif comprenant une carte (1a) à puce remplissant uniquement des fonctionnalités dites de « porte-monnaie électronique », par exemple selon le standard « Moneo » (marque déposée). Cette carte mémorise alors un solde (17), par exemple correspondant à une valeur monétaire, et comporte des algorithmes lui permettant de recevoir des commandes de vérification (191) et de décrémentation (192) de ce solde. Une telle carte (1a) peut ainsi être compatible avec plusieurs types de services en ne comportant que des fonctions de gestion d'un solde monétaire.
  • Le programme (10) de contrôle, ainsi que les fonctionnalités de saisie de données (114, 15) complémentaires sont alors mémorisées et exécutées dans le terminal (2a). Lors d'un contrôle, l'agent de contrôle réalise alors le contrôle de validité et d'activité du terminal (2a).
  • Dans le cas d'un contrôle de crédit de temps, c'est le terminal (2a) qui comporte un programme (16a) de décompte de temps et de décrémentation de la valeur (1) mémorisée dans cette carte (1a). C'est ce programme (16) de décompte de temps qui n'autorise le contrôle ou ne reste activé que tant que cette valeur n'est pas nulle. Lors d'un contrôle, c'est la validité et l'activité du terminal qui sont alors contrôlées par l'agent de contrôle.
  • Une utilisation d'un tel objet informatisé multiple peut par exemple comprendre le fait, pour une personne ou un ordinateur, de connecter une carte(1a) porte-monnaie multi-service à un terminal (2a) d'identification spécifique au service exigeant un contrôle.
  • Dans un autre mode de réalisation selon la configuration « d'objet informatisé multiple », l'invention comporte un terminal (2b) communiquant avec d'une part une carte (1c) à puce de type porte-monnaie électronique, et d'autre part un objet (1 b) informatisé passif, dit objet d'identification.
  • Les fonctionnalités de calcul de signatures sont alors mémorisées et exécutées dans l'objet (1 b) d'identification. L'affichage ou la transmission des signatures, la réception et l'interprétation du signal, ainsi que les saisies de données complémentaires sont réalisées par le terminal (2b). Le programme (10) de contrôle de l'objet d'identification ne retourne la signature que si un programme (16b) protégé, mémorisé également dans l'objet (1 b) d'identification, est en fonctionnement et lui indique que le solde (17a) de la carte (1 c) porte-monnaie est suffisant. Ce programme (16b) peut réaliser des opérations de vérification (191) et de décrémentation (192) de ce solde (17b) en communiquant avec cette carte (1c) par l'intermédiaire du terminal (2b).
  • Dans le cas d'un contrôle de crédit de temps, c'est le programme (16b) protégé de l'objet d'identification qui comporte un programme de décompte de temps et de décrémentation de la valeur mémorisée dans la carte porte-monnaie, et ne reste activé que tant que cette valeur n'est pas nulle. Lors d'un contrôle, l'agent de contrôle réalise alors le contrôle d'authenticité et d'activité de l'objet d'identification, et de validité du solde de la carte porte-monnaie.
  • Une utilisation d'un tel objet informatisé multiple peut par exemple comprendre le fait, pour une personne ou un ordinateur, de connecter une carte porte-monnaie multi-service à un terminal, conjointement avec un objet d'identification spécifique au service exigeant un contrôle.
  • La présente description expose l'invention dans des modes de réalisation comportant une répartition déterminée des tâches et opérations entre les différents algorithmes et programmes concernés. La flexibilité de l'organisation d'une application informatique permet bien sûr de présenter différemment cette répartition, en particulier lorsque les distinctions entre les différents algorithmes et leurs dénominations sont des notions abstraites n'influant pas sur leurs caractéristiques principales de fonctionnement. Il est donc évident que le procédé selon l'invention peut également être mis en oeuvre dans d'autres modes de réalisation non décrits ici, sans sortir de l'esprit de l'invention, en particulier en combinant différemment les diverses variantes exposées pour chaque variable ou algorithme. De même, la répartition abstraite des tâches entre des programmes ou applications mémorisés en un même lieu et temps, peut être combinée en diverses variantes non décrites ici sans sortir de l'esprit de l'invention.
  • Il doit être évident pour les personnes versées dans l'art que la présente invention permet des modes de réalisation sous de nombreuses autres formes spécifiques sans l'éloigner du domaine d'application de l'invention comme revendiqué. Par conséquent, les présents modes de réalisation doivent être considérés à titre d'illustration, mais peuvent être modifiés dans le domaine défini par la portée des revendications jointes, et l'invention ne doit pas être limitée aux détails donnés ci-dessus.

Claims (27)

  1. Utilisation d'au moins un objet (1) informatisé pour la génération d'une donnée pseudo-aléatoire, cet objet informatisé comportant des moyens de traitement de données, des moyens de mémorisation, ainsi que des moyens d'affichage ou des moyens de communication avec un dispositif de traitement de données, dit terminal (2), caractérisé en ce que cette utilisation pour la génération de la donnée pseudo-aléatoire comporte les étapes suivantes :
    - réception d'au moins un signal (3) extérieur, par l'objet (1) informatisé ou par le terminal (2), ce signal (3) variant au cours du temps, étant diffusé dans une zone déterminée sans nécessiter d'adressage du signal ni d'informations spécifiquement prévues pour cette utilisation ;
    - génération, par un module d'interprétation (24), de données (32) de signal, à partir du signal (3) extérieur reçu, pour fournir une donnée, dite graine, sans arrêt différente ;
    - calcul, par l'objet (1) informatisé à l'aide d'un algorithme mémorisé dans cet objet (1), de la donnée numérique pseudo-aléatoire, dite signature (13), à partir de ladite donnée graine.
  2. Utilisation d'un objet (1) informatisé selon la revendication précédente, caractérisé en ce que le signal (3) extérieur est un signal radio, c'est à dire utilisant des ondes électro-magnétiques, émis par un émetteur de diffusion, le procédé comportant en outre les étapes suivantes :
    - réception du signal radio par le terminal (2) ;
    - génération des données (32) de signal par le module (24) d'interprétation, à partir de ce signal radio ;
    - transmission de ces données (32) de signal à l'objet (1) informatisé.
  3. Utilisation d'un objet (1) informatisé selon l'une des revendications précédentes, caractérisé en ce que le signal radio représente des informations comportant des caractéristiques irrégulières ou non prévisibles.
  4. Utilisation d'un objet (1) informatisé selon l'une des revendications précédentes, caractérisé en ce que le signal radio est reçu par la lecture d'une onde sous-porteuse, associée à une diffusion d'ondes radiophoniques.
  5. Utilisation d'un objet (1) informatisé selon l'une des revendications précédentes, caractérisé en ce que le signal (3) comporte une pluralité de périodes de temps déterminées, l'information fournie par ce signal étant constante ou interprétable de façon constante à l'intérieur de chacune de ces périodes déterminées, mais variant de façon irrégulière ou non prévisible d'une période à une autre.
  6. Utilisation d'un objet (1) informatisé pour le contrôle d'une donnée pseudo-aléatoire générée par cet objet (1) informatisé comportant des moyens de traitement de données, des moyens de mémorisation, ainsi que des moyens d'affichage ou des moyens (21) de communication avec un dispositif de traitement de données dit terminal (2), caractérisé en ce que cette utilisation pour le contrôle de la donnée pseudo-aléatoire comporte les étapes suivantes :
    - génération d'une donnée pseudo-aléatoire, dite signature (13), par utilisation de cet objet (1) informatisé selon l'une des revendications précédentes ;
    - affichage de cette signature (13), ou transmission de cette signature au terminal (2), pour vérification par rapport à une donnée (43) calculée par un autre appareil (4), dit station de contrôle, à partir du même signal (3) numérique ou analogique, cette vérification pouvant être faite dans le terminal (2) ou en dehors.
  7. Utilisation d'un objet (1) informatisé selon la revendication précédente, caractérisé en ce qu'elle comporte une étape de comparaison vérifiant la valeur d'une donnée, dite donnée (18) de validité, mémorisée dans l'objet (1) informatisé, cette vérification conditionnant ou modifiant le calcul, l'affichage ou la transmission de la signature (13).
  8. Utilisation d'un objet (1) informatisé selon l'une des revendications 6 à 7, caractérisé en ce qu'elle comporte une étape d'affichage, sur des moyens (22) d'affichage du terminal (2), de la signature (13) reçue par le terminal depuis l'objet (1) informatisé.
  9. Utilisation d'un objet (1) informatisé selon l'une des revendications 6 à 8, caractérisé en ce que la signature (13) est calculée par l'objet (1) informatisé par un algorithme, dit algorithme (11) de signature, utilisant au moins une donnée, dite clé de calcul.
  10. Utilisation d'un objet (1) informatisé selon l'une des revendications 6 à 9, caractérisé en ce que la clé de calcul est calculée à partir d'une donnée, dite clé (12) de base, mémorisée dans l'objet (1) informatisé.
  11. Utilisation d'un objet (1) informatisé selon l'une des revendications 6 à 10, caractérisé en ce que plusieurs données, dites clés de base multiples, sont mémorisées dans l'objet (1) informatisé, cette utilisation comportant une étape de saisie d'une donnée représentant, parmi ces clés de base multiples, la donnée à utiliser comme clé (12) de base.
  12. Utilisation d'un objet (1) informatisé selon l'une des revendications 6 à 11, caractérisé en ce qu'elle comporte une étape de personnalisation de l'objet (1) informatisé par saisie d'au moins une donnée, dite donnée (15) individuelle, cette donnée individuelle étant utilisée par l'objet informatisé en combinaison avec la clé (12) de base pour calculer une donnée, dite clé (121) fille, qui sera utilisée comme clé de calcul.
  13. Utilisation d'un objet (1) informatisé selon l'une des revendications 6 à 12, caractérisé en ce qu'elle comporte une étape de saisie et mémorisation dans l'objet (1) informatisé d'au moins une donnée, dite paramètre (14) supplémentaire, l'algorithme (11) de signature combinant ce paramètre supplémentaire avec la clé (12, 121) de calcul et les données (32) de signal pour calculer la signature (13, 130).
  14. Utilisation d'un objet (1) informatisé selon l'une des revendications 6 à 13, caractérisé en ce qu'elle comporte une étape utilisant un algorithme, dit algorithme (410) complémentaire, réalisant l'extraction de la donnée individuelle qui a été utilisée pour générer une signature, dite signature (130) individualisée, en comparant cette signature individualisée avec une signature, dite signature (13) de base, qui a été générée en combinant les mêmes données sauf ladite donnée (15) individuelle.
  15. Utilisation d'au moins un objet (1) informatisé pour l'authentification d'un ou plusieurs objets (1), ou de leur validité, grâce à une utilisation de ces objets (1) informatisés selon l'une des revendications précédentes, ces objets (1) appartenant à un parc d'objets (1) distribués à des utilisateurs, caractérisé en ce que cette utilisation pour l'authentification comporte les étapes suivantes :
    - activation dans une station de traitement de données, dite station (4) de contrôle, d'un algorithme (41) de contrôle reproduisant les résultats de l'algorithme (11) de signature mémorisé dans les objets (1) à authentifier ;
    - mémorisation éventuelle, dans la station de contrôle, d'une donnée représentant la clé (12) de base mémorisée dans les objets à authentifier, ou celle des clés de base multiples devant être utilisée comme clé de base ;
    - mémorisation éventuelle, dans la station de contrôle, d'au moins une donnée représentant les paramètres (14) supplémentaires devant être mémorisés dans les objets (1) à authentifier ;
    - pour chaque objet à authentifier utilisant une donnée individuelle, lecture ou réception en provenance de l'objet d'une donnée (15) représentant la donnée individuelle et mémorisation de cette donnée individuelle dans la station (4) de contrôlée ;
    - calcul par la station (4) de contrôle, à l'aide de l'algorithme (41) de contrôle, d'une donnée, dite signature (43) de contrôle, en fonction des données éventuellement mémorisées plus haut ;
    - lecture ou réception de la signature (13) calculée par un objet (1) à authentifier et vérification de cette même signature par rapport à la dernière signature (43) de contrôle obtenue par
    - la station (4) de contrôle, ou avec une précédente signature de contrôle.
  16. Utilisation d'au moins un objet (1) informatisé selon la revendication précédente, caractérisé en ce que la donnée (15) individuelle mémorisée dans l'objet (1) informatisé ne peut être modifiée que dans des conditions déterminées, l'utilisation de l'objet (1) pour l'authentification comportant en outre les étapes suivantes :
    - calcul par l'objet (1) informatisé et transmission au terminal (2) d'une signature (13) de base sans utilisation de la donnée (15) individuelle ;
    - calcul par l'objet informatisé et transmission au terminal d'une signature (130) individualisée avec utilisation de la donnée individuelle ;
    - affichage de ces signatures (13, 130), ou transmission de ces signatures au terminal (2), pour vérification par rapport à au moins une donnée (43) calculée par un autre appareil (4) à partir du même signal (3) numérique ou analogique, cette vérification pouvant être faite dans le terminal ou en dehors.
  17. Utilisation d'au moins un objet (1) informatisé selon l'une des revendications 15 à 16, caractérisé en ce que la station (4) de contrôle comporte un algorithme (410) complémentaire, ('utilisation de l'objet (1) pour l'authentification comportant en outre les étapes suivantes :
    - mémorisation dans la station (4) de contrôle d'une signature (130) individualisée fournie par l'objet (1) informatisé ;
    - extraction dans la station de contrôle, par l'algorithme (410) complémentaire, de la donnée (15) individuelle utilisée par l'objet (1) informatisé pour générer la signature (130) individualisée, pour comparaison avec une identification fournie ou présentée par l'utilisateur, ou l'objet informatisé, ou le terminal, ou un dispositif ou un lieu incluant ou utilisant cet objet informatisé.
  18. Utilisation d'au moins un objet (1) informatisé pour le contrôle d'un décompte de crédit, caractérisé en ce que ce contrôle comporte une utilisation d'objets (1) informatisés selon l'une des revendications précédentes, ces objets informatisés, d'une part, mémorisant une donnée (17) de solde, représentant une valeur de crédit disponible et un programme (16) incluant un algorithme de décompte apte à modifier cette donnée de solde, et, d'autre part, comportant une donnée (18) de validité présentant un état déterminé lorsque l'algorithme de décompte est activé et que la donnée de solde représente un crédit non nul, cette modification de la donnée de solde se faisant en fonction d'une ou plusieurs durées d'activation de l'objet, cette utilisation pour le contrôle comportant les étapes suivantes :
    - distribution à des utilisateurs de tels objets informatisés ;
    - authentification et contrôle de la validité d'un ou plusieurs de ces objets informatisés, à l'aide d'une station de contrôle selon l'une des revendications 6 à 16, ces objets informatisés étant présentés par les utilisateurs ou accessibles pour contrôle.
  19. Utilisation d'au moins un objet (1) informatisé selon la revendication précédente, caractérisé en ce que la modification de la donnée (17) de solde se fait également en fonction de données représentant une donnée (15) individuelle ou un paramètre (14) supplémentaire ou un choix de clé (12) de base ou une combinaison d'au moins deux de ces éléments.
  20. Utilisation d'au moins un objet (1) informatisé pour le contrôle d'utilisation d'un dispositif ou d'un système comportant ou utilisant un programme informatique, dit application protégée, caractérisé en ce qu'au moins une partie de l'application protégée est exécutée grâce à l'utilisation d'un objet (1) informatisé selon l'une des revendications précédentes, ou utilise un programme exécuté dans ce même objet (1) informatisé, le calcul de la signature (13) ou son affichage par l'objet informatisé ou sa transmission au terminal (2) ne s'effectuant que si l'application protégée est active.
  21. Objet (1) informatisé comportant des moyens de traitement de données, des moyens de mémorisation, ainsi que des moyens d'affichage ou des moyens de communication avec un dispositif de traitement de données, dit terminal (2), caractérisé en ce qu'il comporte au moins un algorithme de calcul permettant de générer une donnée pseudo-aléatoire à partir d'une donnée graine générée par un module d'interprétation (24) à partir de données fournies par la réception d'un signal (3) extérieur, par l'objet (1) informatisé ou par le terminal (2), ce signal (3) variant au cours du temps et étant diffusé dans une zone déterminée sans nécessiter d'adressage du signal ni d'informations spécifiquement prévues pour fournir cette donnée graine.
  22. Système de contrôle d'un parc d'objets informatisés comprenant au moins un objet (1) informatisé comportant des moyens de traitement de données, des moyens de mémorisation, ainsi que des moyens d'affichage ou des moyens de communication avec un dispositif de traitement de données, dit terminal (2), caractérisé en ce que ledit objet (1) informatisé comporte au moins un algorithme de calcul permettant de générer une donnée pseudo-aléatoire à partir d'une donnée graine générée par un module d'interprétation (24) à partir de données fournies par la réception d'un signal (3) extérieur, par l'objet (1) informatisé ou par le terminal (2), ce signal (3) variant au cours du temps et étant diffusé dans une zone déterminée sans nécessiter d'adressage du signal ni d'informations spécifiquement prévues pour fournir cette donnée graine, la donnée pseudo-aléatoire permettant l'utilisation de l'objet (1) informatisé selon l'une des revendications 6 à 19.
  23. Système de contrôle d'utilisation d'un dispositif ou d'un système comportant ou utilisant un programme informatique, dit application protégée, comportant au moins un objet (1) informatisé comportant des moyens de traitement de données, des moyens de mémorisation, ainsi que des moyens d'affichage ou des moyens de communication avec un dispositif de traitement de données, dit terminal (2), caractérisé en ce que ledit objet (1) informatisé comporte au moins un algorithme de calcul permettant de générer une donnée pseudo-aléatoire à partir d'une donnée graine générée par un module d'interprétation (24) à partir de données fournies par la réception d'un signal (3) extérieur, par l'objet (1) informatisé ou par le terminal (2), ce signal (3) variant au cours du temps et étant diffusé dans une zone déterminée sans nécessiter d'adressage du signal ni d'informations spécifiquement prévues pour fournir cette donnée graine, la donnée pseudo-aléatoire permettant l'utilisation de l'objet (1) informatisé selon la revendication 20.
  24. Système de contrôle d'objets informatisés ou de contrôle d'utilisation d'un dispositif ou système selon l'une des revendications 22 et 23, caractérisé en ce qu'il comporte plusieurs objets informatisés dans lesquels sont répartis les algorithmes et données nécessaires à leur utilisation.
  25. Utilisation d'au moins un objet (1) informatisé pour le contrôle de titres de droit de stationnement de véhicules, caractérisé en ce que le contrôle de ces titres met en oeuvre l'utilisation d'au moins un objet (1) informatisé selon l'une des revendications 1 à 20 et en ce que les objets (1) informatisés sont des cartes à puces, prépayées ou à crédit, dont une donnée (17) de solde représente une valeur de temps de stationnement.
  26. Utilisation d'au moins un objet (1) informatisé selon la revendication précédente, caractérisé en ce qu'au moins un paramètre (14) supplémentaire correspond à une zone géographique de stationnement ou à un type de tarification ou une combinaison des deux.
  27. Utilisation d'au moins un objet (1) informatisé selon l'une des revendications 24 et 25, caractérisé en ce qu'au moins une donnée (15) individuelle correspond à une donnée identifiant l'objet (1) informatisé ou à une donnée identifiant un véhicule ou un utilisateur ou un compte utilisateur, ou une combinaison de ces éléments.
EP02292756A 2001-11-06 2002-11-05 Procédé de génération de données pseudo-aléatoires dans une carte à puce, et procédé d'authentification et son système Expired - Lifetime EP1308909B1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0114351A FR2832008B1 (fr) 2001-11-06 2001-11-06 Procede de generation de donnees pseudo-aleatoires dans une carte a puce, et procede d'authentification et son systeme
FR0114351 2001-11-06

Publications (2)

Publication Number Publication Date
EP1308909A1 EP1308909A1 (fr) 2003-05-07
EP1308909B1 true EP1308909B1 (fr) 2013-02-27

Family

ID=8869120

Family Applications (1)

Application Number Title Priority Date Filing Date
EP02292756A Expired - Lifetime EP1308909B1 (fr) 2001-11-06 2002-11-05 Procédé de génération de données pseudo-aléatoires dans une carte à puce, et procédé d'authentification et son système

Country Status (3)

Country Link
EP (1) EP1308909B1 (fr)
ES (1) ES2420679T3 (fr)
FR (1) FR2832008B1 (fr)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7097107B1 (en) 2003-04-09 2006-08-29 Mobile-Mind, Inc. Pseudo-random number sequence file for an integrated circuit card
GB0910897D0 (en) 2009-06-24 2009-08-05 Vierfire Software Ltd Authentication method and system

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2051780T3 (es) * 1987-03-04 1994-07-01 Siemens Nixdorf Inf Syst Disposicion de circuito para asegurar el acceso a un sistema de proceso de datos con la ayuda de una tarjeta de chips.
FR2654288B1 (fr) * 1989-11-08 1996-11-29 Europ Rech Electr Lab Procede d'authentification d'une carte a microprocesseur et systeme le mettant en óoeuvre.
FR2680263B1 (fr) * 1991-08-07 1994-03-18 Telecom Systemes Mobiles Sa Appareil de parcmetre individuel.
US5153919A (en) * 1991-09-13 1992-10-06 At&T Bell Laboratories Service provision authentication protocol
JP2786092B2 (ja) * 1993-10-18 1998-08-13 日本電気株式会社 移動通信端末認証方式
US5513245A (en) * 1994-08-29 1996-04-30 Sony Corporation Automatic generation of private authentication key for wireless communication systems
WO1996010811A1 (fr) * 1994-09-30 1996-04-11 Siemens Aktiengesellschaft Procede de generation de signatures electroniques et utilisation d'un generateur pseudo-aleatoire a cet effet
US5937068A (en) * 1996-03-22 1999-08-10 Activcard System and method for user authentication employing dynamic encryption variables
JP3558488B2 (ja) * 1997-05-20 2004-08-25 エニー株式会社 暗号通信システム
FR2772167B1 (fr) * 1997-12-10 2001-10-12 Schlumberger Ind Sa Systeme d'authentification d'un ticket electronique de stationnement payant

Also Published As

Publication number Publication date
FR2832008A1 (fr) 2003-05-09
ES2420679T3 (es) 2013-08-26
FR2832008B1 (fr) 2004-03-12
EP1308909A1 (fr) 2003-05-07

Similar Documents

Publication Publication Date Title
EP0981808B1 (fr) Procedure securisee de controle de transfert d'unites de valeur dans un systeme de jeu a cartes a puce
EP0425347B1 (fr) Dispositif portable électronique pour fidéliser un public à un média ou similaire
CA2357308A1 (fr) Procede de divertissement base sur les jeux concours a choix multiples
CN1856809A (zh) 表示游戏的个人游戏设备以及方法
FR2717283A1 (fr) Système amélioré de jeux à distance.
EP3039628A2 (fr) Procede de traitement de donnees transactionnelles, dispositifs et programmes d'ordinateur corrrespondants
WO2002005070A1 (fr) Procede de sécurisation utilisant une transmission d'information par voie optique et disque optique pour la mise en oeuvre de ce procede
FR2680263A1 (fr) Appareil de parcmetre individuel.
EP2369780B1 (fr) Procédé et système de validation d'une transaction, terminal transactionnel et programme correspondants.
EP1308909B1 (fr) Procédé de génération de données pseudo-aléatoires dans une carte à puce, et procédé d'authentification et son système
EP1352311A1 (fr) Procede d'acces a un systeme securise
EP1451783B1 (fr) Procede, systeme et dispositif permettant d'authentifier des donnees transmises et/ou recues par un utilisateur
FR2932914A1 (fr) Appareil et procede de generation d'un titre securise a partir d'un titre officiel
US10943431B2 (en) Augmented reality lottery system
EP3234848A1 (fr) Procede d'envoi d'une information de securite et dispositif electronique apte a mettre en oeuvre un tel procede
FR2781909A1 (fr) Systeme de gestion du stationnement universel
EP1490816B1 (fr) Dispositif de communication interactive
FR2830353A1 (fr) Procede et dispositif de mise en oeuvre securisee de jeux du type loterie utilisant un telephone mobile
EP3091501A1 (fr) Procédé de participation à une loterie mis en oeuvre par un terminal mobile
FR2812423A1 (fr) Systeme de paiement par carte d'une transaction sur internet
EP3900293A1 (fr) Procédé et système de sécurisation d'opérations, et poste utilisateur associé
WO2003012753A2 (fr) Procede et dispositif de transactions electroniques entre particuliers
WO2014020244A1 (fr) Procédé de paiement sécurisé et dispositif en vue de la mise en œuvre dudit procédé
FR2782564A1 (fr) Objet portatif du type porte-monnaie electronique permettant le paiement dans differentes devises et protocole de paiement associe
WO2012101389A1 (fr) Systeme biometrique de verification de l'identite avec un signal de reussite, cooperant avec un objet portatif

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LI LU MC NL PT SE SK TR

AX Request for extension of the european patent

Extension state: AL LT LV MK RO SI

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: XIRING

17P Request for examination filed

Effective date: 20030827

AKX Designation fees paid

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LI LU MC NL PT SE SK TR

17Q First examination report despatched

Effective date: 20061027

REG Reference to a national code

Ref country code: DE

Ref legal event code: R079

Ref document number: 60244555

Country of ref document: DE

Free format text: PREVIOUS MAIN CLASS: G07F0007100000

Ipc: G07C0009000000

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

RIC1 Information provided on ipc code assigned before grant

Ipc: G07C 9/00 20060101AFI20120919BHEP

Ipc: G07F 7/10 20060101ALI20120919BHEP

Ipc: G07F 7/08 20060101ALI20120919BHEP

Ipc: G07F 17/00 20060101ALI20120919BHEP

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: COMPAGNIE INDUSTRIELLE ET FINANCIERE D'INGENIERIE

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LI LU MC NL PT SE SK TR

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

REG Reference to a national code

Ref country code: AT

Ref legal event code: REF

Ref document number: 598845

Country of ref document: AT

Kind code of ref document: T

Effective date: 20130315

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: LANGUAGE OF EP DOCUMENT: FRENCH

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 60244555

Country of ref document: DE

Effective date: 20130425

REG Reference to a national code

Ref country code: AT

Ref legal event code: MK05

Ref document number: 598845

Country of ref document: AT

Kind code of ref document: T

Effective date: 20130227

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: BG

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130527

Ref country code: AT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130227

Ref country code: SE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130227

REG Reference to a national code

Ref country code: NL

Ref legal event code: VDEP

Effective date: 20130227

REG Reference to a national code

Ref country code: ES

Ref legal event code: FG2A

Ref document number: 2420679

Country of ref document: ES

Kind code of ref document: T3

Effective date: 20130826

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: FI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130227

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130528

Ref country code: PT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130627

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CZ

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130227

Ref country code: NL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130227

Ref country code: EE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130227

Ref country code: DK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130227

Ref country code: SK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130227

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CY

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130227

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130227

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

26N No opposition filed

Effective date: 20131128

REG Reference to a national code

Ref country code: DE

Ref legal event code: R097

Ref document number: 60244555

Country of ref document: DE

Effective date: 20131128

BERE Be: lapsed

Owner name: CIE INDUSTRIELLE ET FINANCIERE D'INGENIERIE (INGE

Effective date: 20131130

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CH

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20131130

Ref country code: MC

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130227

Ref country code: LI

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20131130

REG Reference to a national code

Ref country code: IE

Ref legal event code: MM4A

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: BE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20131130

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20131105

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: TR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130227

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LU

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20131105

REG Reference to a national code

Ref country code: FR

Ref legal event code: PLFP

Year of fee payment: 14

REG Reference to a national code

Ref country code: FR

Ref legal event code: PLFP

Year of fee payment: 15

REG Reference to a national code

Ref country code: FR

Ref legal event code: CD

Owner name: INGENICO GROUP, FR

Effective date: 20170912

REG Reference to a national code

Ref country code: FR

Ref legal event code: PLFP

Year of fee payment: 16

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: DE

Payment date: 20211129

Year of fee payment: 20

Ref country code: GB

Payment date: 20211222

Year of fee payment: 20

Ref country code: FR

Payment date: 20211125

Year of fee payment: 20

Ref country code: ES

Payment date: 20211203

Year of fee payment: 20

REG Reference to a national code

Ref country code: GB

Ref legal event code: 732E

Free format text: REGISTERED BETWEEN 20220127 AND 20220202

REG Reference to a national code

Ref country code: DE

Ref legal event code: R081

Ref document number: 60244555

Country of ref document: DE

Owner name: BANKS AND ACQUIRES INTERNATIONAL HOLDING, FR

Free format text: FORMER OWNER: COMPAGNIE INDUSTRIELLE ET FINANCIERE D'INGENIERIE INGENICO, PARIS, FR

Ref country code: DE

Ref legal event code: R082

Ref document number: 60244555

Country of ref document: DE

Representative=s name: STUMPF PATENTANWAELTE PARTGMBB, DE

REG Reference to a national code

Ref country code: DE

Ref legal event code: R071

Ref document number: 60244555

Country of ref document: DE

REG Reference to a national code

Ref country code: ES

Ref legal event code: FD2A

Effective date: 20221125

REG Reference to a national code

Ref country code: GB

Ref legal event code: PE20

Expiry date: 20221104

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GB

Free format text: LAPSE BECAUSE OF EXPIRATION OF PROTECTION

Effective date: 20221104

Ref country code: ES

Free format text: LAPSE BECAUSE OF EXPIRATION OF PROTECTION

Effective date: 20221106